hacktricks/pentesting-web/bypass-payment-process.md

Bypass Payment Process

{% hint style="success" %} Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

• Check the subscription plans!
• Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
• Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

{% endhint %}

Payment Bypass Techniques

Request Interception

Tokom procesa transakcije, ključno je pratiti podatke koji se razmenjuju između klijenta i servera. To se može uraditi presretanjem svih zahteva. U okviru ovih zahteva, obratite pažnju na parametre sa značajnim implikacijama, kao što su:

• Success: Ovaj parametar često ukazuje na status transakcije.
• Referrer: Može ukazivati na izvor sa kojeg je zahtev potekao.
• Callback: Ovaj parametar se obično koristi za preusmeravanje korisnika nakon što je transakcija završena.

URL Analysis

Ako naiđete na parametar koji sadrži URL, posebno onaj koji prati obrazac example.com/payment/MD5HASH, zahteva bliže ispitivanje. Evo korak-po-korak pristupa:

1. Copy the URL: Izdvojite URL iz vrednosti parametra.
2. New Window Inspection: Otvorite kopirani URL u novom prozoru pretraživača. Ova akcija je ključna za razumevanje ishoda transakcije.

Parameter Manipulation

1. Change Parameter Values: Eksperimentišite menjajući vrednosti parametara kao što su Success, Referrer ili Callback. Na primer, promena parametra sa false na true može ponekad otkriti kako sistem obrađuje ove ulaze.
2. Remove Parameters: Pokušajte da uklonite određene parametre kako biste videli kako sistem reaguje. Neki sistemi mogu imati rezervne ili podrazumevane ponašanja kada očekivani parametri nedostaju.

Cookie Tampering

1. Examine Cookies: Mnogi veb sajtovi čuvaju ključne informacije u kolačićima. Istražite ove kolačiće za bilo kakve podatke vezane za status plaćanja ili autentifikaciju korisnika.
2. Modify Cookie Values: Izmenite vrednosti koje su sačuvane u kolačićima i posmatrajte kako se odgovor ili ponašanje veb sajta menja.

Session Hijacking

1. Session Tokens: Ako se u procesu plaćanja koriste tokeni sesije, pokušajte da ih uhvatite i manipulišete njima. Ovo može dati uvid u ranjivosti upravljanja sesijama.

Response Tampering

1. Intercept Responses: Koristite alate za presretanje i analizu odgovora sa servera. Potražite bilo kakve podatke koji bi mogli ukazivati na uspešnu transakciju ili otkriti sledeće korake u procesu plaćanja.
2. Modify Responses: Pokušajte da izmenite odgovore pre nego što ih obradi pretraživač ili aplikacija kako biste simulirali scenario uspešne transakcije.

{% hint style="success" %} Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

• Check the subscription plans!
• Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
• Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

{% endhint %}