hacktricks/pentesting-web/bypass-payment-process.md

6 KiB

Técnicas de Bypass de Pago

Aprende hacking en AWS desde cero hasta convertirte en un experto con htARTE (HackTricks AWS Red Team Expert)!

Otras formas de apoyar a HackTricks:

Encuentra vulnerabilidades que importan más para que puedas solucionarlas más rápido. Intruder rastrea tu superficie de ataque, ejecuta escaneos proactivos de amenazas, encuentra problemas en toda tu pila tecnológica, desde APIs hasta aplicaciones web y sistemas en la nube. Pruébalo gratis hoy.

{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}


Técnicas de Bypass de Pago

Intercepción de Solicitudes

Durante el proceso de transacción, es crucial monitorear los datos intercambiados entre el cliente y el servidor. Esto se puede hacer interceptando todas las solicitudes. Dentro de estas solicitudes, busca parámetros con implicaciones significativas, como:

  • Éxito: Este parámetro a menudo indica el estado de la transacción.
  • Referente: Puede indicar la fuente desde donde se originó la solicitud.
  • Callback: Se utiliza típicamente para redirigir al usuario después de que se complete una transacción.

Análisis de URL

Si encuentras un parámetro que contiene una URL, especialmente una que sigue el patrón ejemplo.com/pago/MD5HASH, requiere un examen más detenido. Aquí tienes un enfoque paso a paso:

  1. Copiar la URL: Extrae la URL del valor del parámetro.
  2. Inspección en una Nueva Ventana: Abre la URL copiada en una nueva ventana del navegador. Esta acción es crucial para comprender el resultado de la transacción.

Manipulación de Parámetros

  1. Cambiar los Valores de los Parámetros: Experimenta alterando los valores de parámetros como Éxito, Referente o Callback. Por ejemplo, cambiar un parámetro de false a true a veces puede revelar cómo el sistema maneja estas entradas.
  2. Eliminar Parámetros: Intenta eliminar ciertos parámetros por completo para ver cómo reacciona el sistema. Algunos sistemas podrían tener respaldos o comportamientos predeterminados cuando faltan parámetros esperados.

Manipulación de Cookies

  1. Examinar Cookies: Muchos sitios web almacenan información crucial en cookies. Inspecciona estas cookies en busca de datos relacionados con el estado del pago o la autenticación del usuario.
  2. Modificar los Valores de las Cookies: Altera los valores almacenados en las cookies y observa cómo cambia la respuesta o el comportamiento del sitio web.

Secuestro de Sesiones

  1. Tokens de Sesión: Si se utilizan tokens de sesión en el proceso de pago, intenta capturarlos y manipularlos. Esto podría proporcionar información sobre vulnerabilidades en la gestión de sesiones.

Manipulación de Respuestas

  1. Interceptar Respuestas: Utiliza herramientas para interceptar y analizar las respuestas del servidor. Busca cualquier dato que pueda indicar una transacción exitosa o revelar los próximos pasos en el proceso de pago.
  2. Modificar Respuestas: Intenta modificar las respuestas antes de que sean procesadas por el navegador o la aplicación para simular un escenario de transacción exitosa.

Encuentra vulnerabilidades que importan más para que puedas solucionarlas más rápido. Intruder rastrea tu superficie de ataque, ejecuta escaneos proactivos de amenazas, encuentra problemas en toda tu pila tecnológica, desde APIs hasta aplicaciones web y sistemas en la nube. Pruébalo gratis hoy.

{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}


Aprende hacking en AWS desde cero hasta convertirte en un experto con htARTE (HackTricks AWS Red Team Expert)!

Otras formas de apoyar a HackTricks: