Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-28 23:51:29 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/pentesting-web/bypass-payment-process.md
Carlos Polop e8ea1777f5 Translated to Ukranian
2024-03-29 19:49:46 +01:00

73 lines
7.3 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

# Обхід процесу оплати
<details>
<summary><strong>Вивчайте хакінг AWS від нуля до героя з</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Інші способи підтримки HackTricks:
* Якщо ви хочете побачити вашу **компанію в рекламі на HackTricks** або **завантажити HackTricks у форматі PDF**, перевірте [**ПЛАНИ ПІДПИСКИ**](https://github.com/sponsors/carlospolop)!
* Отримайте [**офіційний PEASS & HackTricks мерч**](https://peass.creator-spring.com)
* Дізнайтеся про [**Сім'ю PEASS**](https://opensea.io/collection/the-peass-family), нашу колекцію ексклюзивних [**NFT**](https://opensea.io/collection/the-peass-family)
* **Приєднуйтесь до** 💬 [**групи Discord**](https://discord.gg/hRep4RUj7f) або [**групи telegram**](https://t.me/peass) або **слідкуйте** за нами на **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Поділіться своїми хакінг-прийомами, надсилайте PR до** [**HackTricks**](https://github.com/carlospolop/hacktricks) **і** [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) **репозиторіїв на GitHub**.
</details>
**Група з безпеки Try Hard**
<figure><img src="/.gitbook/assets/telegram-cloud-document-1-5159108904864449420.jpg" alt=""><figcaption></figcaption></figure>
{% embed url="https://discord.gg/tryhardsecurity" %}
***
## Техніки обходу оплати
### Перехоплення запитів
Під час процесу транзакції важливо моніторити дані, які обмінюються між клієнтом та сервером. Це можна зробити, перехопивши всі запити. У цих запитах шукайте параметри зі значущими наслідками, такими як:
- **Success**: Цей параметр часто вказує на статус транзакції.
- **Referrer**: Він може вказувати на джерело, звідки походить запит.
- **Callback**: Зазвичай використовується для перенаправлення користувача після завершення транзакції.
### Аналіз URL
Якщо ви зустрічаєте параметр, який містить URL, особливо той, що слідує за шаблоном _example.com/payment/MD5HASH_, його потрібно уважніше розглянути. Ось крок за кроком підхід:
1. **Скопіюйте URL**: Витягніть URL зі значення параметра.
2. **Перевірка в новому вікні**: Відкрийте скопійований URL в новому вікні браузера. Ця дія є критичною для розуміння результату транзакції.
### Маніпулювання параметрами
1. **Змінюйте значення параметрів**: Експериментуйте, змінюючи значення параметрів, таких як _Success_, _Referrer_ або _Callback_. Наприклад, зміна параметра з `false` на `true` іноді може розкрити, як система обробляє ці вхідні дані.
2. **Вилучення параметрів**: Спробуйте вилучити певні параметри повністю, щоб побачити, як система реагує. Деякі системи можуть мати резервні варіанти або стандартні поведінки, коли очікувані параметри відсутні.
### Підміна кукісів
1. **Дослідження кукісів**: Багато веб-сайтів зберігають важливу інформацію в куки. Перевірте ці куки на наявність даних, що стосуються статусу оплати або аутентифікації користувача.
2. **Зміна значень куки**: Змінюйте значення, збережені в куках, і спостерігайте, як змінюється відповідь або поведінка веб-сайту.
### Підкрадання сесій
1. **Токени сесій**: Якщо в процесі оплати використовуються токени сесій, спробуйте захопити і маніпулювати ними. Це може дати відомості про вразливості управління сесіями.
### Маніпулювання відповідями
1. **Перехоплення відповідей**: Використовуйте інструменти для перехоплення та аналізу відповідей від сервера. Шукайте будь-які дані, які можуть вказувати на успішну транзакцію або розкривати наступні кроки в процесі оплати.
2. **Зміна відповідей**: Спробуйте змінити відповіді перед тим, як вони будуть оброблені браузером або додатком, щоб симулювати сценарій успішної транзакції.
**Група з безпеки Try Hard**
<figure><img src="/.gitbook/assets/telegram-cloud-document-1-5159108904864449420.jpg" alt=""><figcaption></figcaption></figure>
{% embed url="https://discord.gg/tryhardsecurity" %}
<details>
<summary><strong>Вивчайте хакінг AWS від нуля до героя з</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Інші способи підтримки HackTricks:
* Якщо ви хочете побачити вашу **компанію в рекламі на HackTricks** або **завантажити HackTricks у форматі PDF**, перевірте [**ПЛАНИ ПІДПИСКИ**](https://github.com/sponsors/carlospolop)!
* Отримайте [**офіційний PEASS & HackTricks мерч**](https://peass.creator-spring.com)
* Дізнайтеся про [**Сім'ю PEASS**](https://opensea.io/collection/the-peass-family), нашу колекцію ексклюзивних [**NFT**](https://opensea.io/collection/the-peass-family)
* **Приєднуйтесь до** 💬 [**групи Discord**](https://discord.gg/hRep4RUj7f) або [**групи telegram**](https://t.me/peass) або **слідкуйте** за нами на **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Поділіться своїми хакінг-прийомами, надсилайте PR до** [**HackTricks**](https://github.com/carlospolop/hacktricks) **і** [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) **репозиторіїв на GitHub**.
</details>
Reference in a new issue View git blame Copy permalink