Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-23 05:03:35 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/pentesting-web/bypass-payment-process.md

69 lines
5.1 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

# Ödeme Sürecini Atlatma
<details>
<summary><strong>AWS hackleme konusunda sıfırdan kahramana dönüşün</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Kırmızı Takım Uzmanı)</strong></a><strong> ile!</strong></summary>
HackTricks'ı desteklemenin diğer yolları:
* **Şirketinizi HackTricks'te reklam görmek istiyorsanız** veya **HackTricks'i PDF olarak indirmek istiyorsanız** [**ABONELİK PLANLARINI**](https://github.com/sponsors/carlospolop) kontrol edin!
* [**Resmi PEASS & HackTricks ürünlerini**](https://peass.creator-spring.com) edinin
* [**PEASS Ailesi'ni**](https://opensea.io/collection/the-peass-family) keşfedin, özel [**NFT'lerimiz**](https://opensea.io/collection/the-peass-family) koleksiyonumuz
* **Katılın** 💬 [**Discord grubuna**](https://discord.gg/hRep4RUj7f) veya [**telegram grubuna**](https://t.me/peass) veya bizi **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)** takip edin.**
* **Hacking püf noktalarınızı göndererek HackTricks ve HackTricks Cloud** github depolarına PR göndererek paylaşın.
</details>
**Try Hard Güvenlik Grubu**
<figure><img src="/.gitbook/assets/telegram-cloud-document-1-5159108904864449420.jpg" alt=""><figcaption></figcaption></figure>
{% embed url="https://discord.gg/tryhardsecurity" %}
***
## Ödeme Atlatma Teknikleri
### İstek İzleme
İşlem süreci sırasında istemci ve sunucu arasında değişen verileri izlemek son derece önemlidir. Bu, tüm istekleri engelleyerek yapılabilir. Bu istekler içinde, genellikle işlem durumunu gösteren **Başarılı**, isteğin kaynağını işaret edebilecek **Referrer** ve işlem tamamlandıktan sonra kullanıcıyı yönlendirmek için kullanılan **Callback** gibi önemli etkilere sahip parametreleri arayın.
### URL Analizi
Özellikle _example.com/payment/MD5HASH_ desenini takip eden bir URL içeren bir parametreyle karşılaşırsanız, bu daha yakından incelenmelidir. İşte adım adım bir yaklaşım:
1. **URL'yi Kopyala**: Parametre değerinden URL'yi çıkarın.
2. **Yeni Pencere İncelemesi**: Kopyalanan URL'yi yeni bir tarayıcı penceresinde açın. Bu eylem, işlemin sonucunu anlamak için kritiktir.
### Parametre Manipülasyonu
1. **Parametre Değerlerini Değiştirme**: _Success_, _Referrer_ veya _Callback_ gibi parametrelerin değerlerini değiştirerek deney yapın. Örneğin, bir parametreyi `false`dan `true`'ya değiştirmek, sistemin bu girdileri nasıl işlediğini bazen ortaya çıkarabilir.
2. **Parametreleri Kaldırma**: Belirli parametreleri tamamen kaldırmayı deneyerek sistemin nasıl tepki verdiğini görün. Beklenen parametreler eksik olduğunda bazı sistemler yedek planları veya varsayılan davranışları olabilir.
### Çerez Manipülasyonu
1. **Çerezleri İnceleme**: Birçok web sitesi önemli bilgileri çerezlerde saklar. Bu çerezleri ödeme durumu veya kullanıcı kimlik doğrulamasıyla ilgili veriler açısından inceleyin.
2. **Çerez Değerlerini Değiştirme**: Çerezlerde saklanan değerleri değiştirin ve web sitesinin yanıtını veya davranışını nasıl değiştirdiğini gözlemleyin.
### Oturum Kaçırma
1. **Oturum Belirteçleri**: Ödeme sürecinde oturum belirteçleri kullanılıyorsa, bunları yakalayıp manipüle etmeyi deneyin. Bu, oturum yönetimi açıklarına dair içgörüler sağlayabilir.
### Yanıt Manipülasyonu
1. **Yanıtları Engelleyin**: Araçları kullanarak sunucudan gelen yanıtları engelleyin ve analiz edin. Başarılı bir işlemi gösterebilecek veya ödeme sürecindeki bir sonraki adımları ortaya çıkarabilecek herhangi bir veriyi arayın.
2. **Yanıtları Değiştirme**: Tarayıcı veya uygulama tarafından işlenmeden önce yanıtları değiştirmeye çalışarak başarılı bir işlem senaryosunu simüle etmeye çalışın.
**Try Hard Güvenlik Grubu**
<figure><img src="/.gitbook/assets/telegram-cloud-document-1-5159108904864449420.jpg" alt=""><figcaption></figcaption></figure>
{% embed url="https://discord.gg/tryhardsecurity" %}
<details>
<summary><strong>AWS hackleme konusunda sıfırdan kahramana dönüşün</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Kırmızı Takım Uzmanı)</strong></a><strong> ile!</strong></summary>
HackTricks'ı desteklemenin diğer yolları:
* **Şirketinizi HackTricks'te reklam görmek istiyorsanız** veya **HackTricks'i PDF olarak indirmek istiyorsanız** [**ABONELİK PLANLARINI**](https://github.com/sponsors/carlospolop) kontrol edin!
* [**Resmi PEASS & HackTricks ürünlerini**](https://peass.creator-spring.com) edinin
* [**PEASS Ailesi'ni**](https://opensea.io/collection/the-peass-family) keşfedin, özel [**NFT'lerimiz**](https://opensea.io/collection/the-peass-family) koleksiyonumuz
* **Katılın** 💬 [**Discord grubuna**](https://discord.gg/hRep4RUj7f) veya [**telegram grubuna**](https://t.me/peass) veya bizi **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)** takip edin.**
* **Hacking püf noktalarınızı göndererek HackTricks ve HackTricks Cloud** github depolarına PR göndererek paylaşın.
</details>
Reference in a new issue View git blame Copy permalink