5.7 KiB
Bypassiranje procesa plaćanja
Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!
Drugi načini podrške HackTricks-u:
- Ako želite da vidite vašu kompaniju reklamiranu na HackTricks-u ili preuzmete HackTricks u PDF formatu proverite SUBSCRIPTION PLANS!
- Nabavite zvanični PEASS & HackTricks swag
- Otkrijte The PEASS Family, našu kolekciju ekskluzivnih NFT-ova
- Pridružite se 💬 Discord grupi ili telegram grupi ili nas pratite na Twitter-u 🐦 @carlospolopm.
- Podelite svoje hakovanje trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.
Pronađite najvažnije ranjivosti kako biste ih brže popravili. Intruder prati vašu površinu napada, pokreće proaktivne pretnje, pronalazi probleme u celokupnom tehnološkom sklopu, od API-ja do veb aplikacija i cloud sistema. Isprobajte ga besplatno danas.
{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}
Tehnike zaobilaženja plaćanja
Presretanje zahteva
Tokom procesa transakcije, važno je pratiti podatke koji se razmenjuju između klijenta i servera. To se može postići presretanjem svih zahteva. U okviru ovih zahteva, obratite pažnju na parametre sa značajnim implikacijama, kao što su:
- Success: Ovaj parametar često ukazuje na status transakcije.
- Referrer: Može ukazivati na izvor sa kog je zahtev potekao.
- Callback: Obično se koristi za preusmeravanje korisnika nakon završetka transakcije.
Analiza URL-a
Ako naiđete na parametar koji sadrži URL, posebno onaj koji sledi obrazac example.com/payment/MD5HASH, potrebno je pažljivo ispitivanje. Evo koraka po koraka pristupa:
- Kopirajte URL: Izdvojte URL iz vrednosti parametra.
- Inspekcija u novom prozoru: Otvorite kopirani URL u novom prozoru pregledača. Ova radnja je ključna za razumevanje ishoda transakcije.
Manipulacija parametrima
- Promena vrednosti parametara: Isprobajte menjanje vrednosti parametara kao što su Success, Referrer ili Callback. Na primer, promena parametra sa
falsenatrueponekad može otkriti kako sistem obrađuje ove ulaze. - Uklanjanje parametara: Pokušajte da uklonite određene parametre kako biste videli kako sistem reaguje. Neki sistemi mogu imati rezervne opcije ili podrazumevano ponašanje kada nedostaju očekivani parametri.
Manipulacija kolačićima
- Pregled kolačića: Mnoge veb stranice čuvaju važne informacije u kolačićima. Pregledajte ove kolačiće u potrazi za podacima koji se odnose na status plaćanja ili autentifikaciju korisnika.
- Izmena vrednosti kolačića: Promenite vrednosti koje se čuvaju u kolačićima i posmatrajte kako se menja odgovor ili ponašanje veb stranice.
Hakovanje sesije
- Sesija tokena: Ako se tokenu sesije koriste u procesu plaćanja, pokušajte da ih presretnete i manipulišete njima. Ovo može pružiti uvid u ranjivosti upravljanja sesijom.
Manipulacija odgovorima
- Presretanje odgovora: Koristite alate za presretanje i analizu odgovora sa servera. Potražite bilo kakve podatke koji mogu ukazivati na uspešnu transakciju ili otkriti sledeće korake u procesu plaćanja.
- Izmena odgovora: Pokušajte da izmenite odgovore pre nego što ih pregledač ili aplikacija obrade, kako biste simulirali scenarij uspešne transakcije.
Pronađite najvažnije ranjivosti kako biste ih brže popravili. Intruder prati vašu površinu napada, pokreće proaktivne pretnje, pronalazi probleme u celokupnom tehnološkom sklopu, od API-ja do veb aplikacija i cloud sistema. Isprobajte ga besplatno danas.
{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}
Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!
Drugi načini podrške HackTricks-u:
- Ako želite da vidite vašu kompaniju reklamiranu na HackTricks-u ili preuzmete HackTricks u PDF formatu proverite SUBSCRIPTION PLANS!
- Nabavite zvanični PEASS & HackTricks swag
- Otkrijte The PEASS Family, našu kolekciju ekskluzivnih NFT-ova
- Pridružite se 💬 Discord grupi ili telegram grupi ili nas pratite na Twitter-u 🐦 @carlospolopm.
- Podelite svoje hakovanje trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.