hacktricks/pentesting-web/bypass-payment-process.md

61 lines
4.8 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

# Ödeme Sürecini Atlatma
{% hint style="success" %}
AWS Hacking'i öğrenin ve pratik yapın:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Eğitim AWS Kırmızı Takım Uzmanı (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
GCP Hacking'i öğrenin ve pratik yapın: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Eğitim GCP Kırmızı Takım Uzmanı (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary>HackTricks'i Destekleyin</summary>
* [**abonelik planlarını**](https://github.com/sponsors/carlospolop) kontrol edin!
* **💬 [**Discord grubuna**](https://discord.gg/hRep4RUj7f) veya [**telegram grubuna**](https://t.me/peass) katılın ya da **Twitter'da** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**'ı takip edin.**
* **Hacking ipuçlarını paylaşmak için** [**HackTricks**](https://github.com/carlospolop/hacktricks) ve [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github reposuna PR gönderin.
</details>
{% endhint %}
## Ödeme Atlatma Teknikleri
### İstek Yakalama
İşlem sürecinde, istemci ve sunucu arasında değiştirilen verileri izlemek çok önemlidir. Bu, tüm istekleri yakalayarak yapılabilir. Bu istekler içinde, önemli sonuçlar doğurabilecek parametreleri arayın, örneğin:
- **Başarı**: Bu parametre genellikle işlemin durumunu gösterir.
- **Referans**: İsteğin nereden geldiğini gösterebilir.
- **Geri Çağırma**: Bu genellikle işlem tamamlandıktan sonra kullanıcıyı yönlendirmek için kullanılır.
### URL Analizi
Bir URL içeren bir parametre ile karşılaşırsanız, özellikle _example.com/payment/MD5HASH_ desenini takip ediyorsa, daha yakından incelemek gerekir. İşte adım adım bir yaklaşım:
1. **URL'yi Kopyalayın**: Parametre değerinden URL'yi çıkarın.
2. **Yeni Pencere İncelemesi**: Kopyalanan URL'yi yeni bir tarayıcı penceresinde açın. Bu işlem, işlemin sonucunu anlamak için kritik öneme sahiptir.
### Parametre Manipülasyonu
1. **Parametre Değerlerini Değiştirin**: _Başarı_, _Referans_ veya _Geri Çağırma_ gibi parametrelerin değerlerini değiştirerek deneyin. Örneğin, bir parametreyi `false`'dan `true`'ya değiştirmek, sistemin bu girdileri nasıl işlediğini ortaya çıkarabilir.
2. **Parametreleri Kaldırın**: Bazı parametreleri tamamen kaldırmayı deneyin ve sistemin nasıl tepki verdiğini görün. Bazı sistemler, beklenen parametreler eksik olduğunda geri dönüşler veya varsayılan davranışlar sergileyebilir.
### Çerez Manipülasyonu
1. **Çerezleri İnceleyin**: Birçok web sitesi, çerezlerde kritik bilgileri saklar. Bu çerezleri ödeme durumu veya kullanıcı kimlik doğrulaması ile ilgili veriler için inceleyin.
2. **Çerez Değerlerini Değiştirin**: Çerezlerde saklanan değerleri değiştirin ve web sitesinin yanıtının veya davranışının nasıl değiştiğini gözlemleyin.
### Oturum Ele Geçirme
1. **Oturum Jetonları**: Ödeme sürecinde oturum jetonları kullanılıyorsa, bunları yakalamayı ve manipüle etmeyi deneyin. Bu, oturum yönetimi açıklarını anlamanıza yardımcı olabilir.
### Yanıt Manipülasyonu
1. **Yanıtları Yakalayın**: Sunucudan gelen yanıtları yakalamak ve analiz etmek için araçlar kullanın. Başarılı bir işlemi gösteren veya ödeme sürecindeki sonraki adımları ortaya çıkaran verileri arayın.
2. **Yanıtları Değiştirin**: Yanıtlar tarayıcı veya uygulama tarafından işlenmeden önce bunları değiştirmeyi deneyin ve başarılı bir işlem senaryosunu simüle edin.
{% hint style="success" %}
AWS Hacking'i öğrenin ve pratik yapın:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Eğitim AWS Kırmızı Takım Uzmanı (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
GCP Hacking'i öğrenin ve pratik yapın: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Eğitim GCP Kırmızı Takım Uzmanı (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary>HackTricks'i Destekleyin</summary>
* [**abonelik planlarını**](https://github.com/sponsors/carlospolop) kontrol edin!
* **💬 [**Discord grubuna**](https://discord.gg/hRep4RUj7f) veya [**telegram grubuna**](https://t.me/peass) katılın ya da **Twitter'da** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**'ı takip edin.**
* **Hacking ipuçlarını paylaşmak için** [**HackTricks**](https://github.com/carlospolop/hacktricks) ve [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github reposuna PR gönderin.
</details>
{% endhint %}