Bypass Payment Process
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Κατά τη διάρκεια της διαδικασίας συναλλαγής, είναι κρίσιμο να παρακολουθείτε τα δεδομένα που ανταλλάσσονται μεταξύ του πελάτη και του διακομιστή. Αυτό μπορεί να γίνει με την παρεμπόδιση όλων των αιτημάτων. Μέσα σε αυτά τα αιτήματα, προσέξτε παραμέτρους με σημαντικές επιπτώσεις, όπως:
Success: Αυτή η παράμετρος συχνά υποδεικνύει την κατάσταση της συναλλαγής.
Referrer: Μπορεί να δείχνει την πηγή από την οποία προήλθε το αίτημα.
Callback: Αυτή χρησιμοποιείται συνήθως για την ανακατεύθυνση του χρήστη μετά την ολοκλήρωση μιας συναλλαγής.
Αν συναντήσετε μια παράμετρο που περιέχει μια διεύθυνση URL, ειδικά μία που ακολουθεί το μοτίβο example.com/payment/MD5HASH, απαιτεί πιο προσεκτική εξέταση. Ακολουθεί μια βήμα προς βήμα προσέγγιση:
Copy the URL: Εξαγάγετε τη διεύθυνση URL από την τιμή της παραμέτρου.
New Window Inspection: Ανοίξτε τη διεύθυνση URL που αντιγράψατε σε ένα νέο παράθυρο του προγράμματος περιήγησης. Αυτή η ενέργεια είναι κρίσιμη για την κατανόηση του αποτελέσματος της συναλλαγής.
Change Parameter Values: Πειραματιστείτε αλλάζοντας τις τιμές παραμέτρων όπως Success, Referrer ή Callback. Για παράδειγμα, η αλλαγή μιας παραμέτρου από false
σε true
μπορεί μερικές φορές να αποκαλύψει πώς το σύστημα χειρίζεται αυτές τις εισόδους.
Remove Parameters: Δοκιμάστε να αφαιρέσετε ορισμένες παραμέτρους εντελώς για να δείτε πώς αντιδρά το σύστημα. Ορισμένα συστήματα μπορεί να έχουν εναλλακτικές ή προεπιλεγμένες συμπεριφορές όταν λείπουν οι αναμενόμενες παράμετροι.
Examine Cookies: Πολλές ιστοσελίδες αποθηκεύουν κρίσιμες πληροφορίες σε cookies. Εξετάστε αυτά τα cookies για τυχόν δεδομένα που σχετίζονται με την κατάσταση πληρωμής ή την αυθεντικοποίηση χρήστη.
Modify Cookie Values: Αλλάξτε τις τιμές που αποθηκεύονται στα cookies και παρατηρήστε πώς αλλάζει η απάντηση ή η συμπεριφορά της ιστοσελίδας.
Session Tokens: Αν χρησιμοποιούνται διακριτικά συνεδρίας στη διαδικασία πληρωμής, προσπαθήστε να τα συλλάβετε και να τα χειριστείτε. Αυτό μπορεί να δώσει πληροφορίες σχετικά με τις ευπάθειες διαχείρισης συνεδρίας.
Intercept Responses: Χρησιμοποιήστε εργαλεία για να παρεμποδίσετε και να αναλύσετε τις απαντήσεις από τον διακομιστή. Αναζητήστε τυχόν δεδομένα που μπορεί να υποδεικνύουν μια επιτυχημένη συναλλαγή ή να αποκαλύπτουν τα επόμενα βήματα στη διαδικασία πληρωμής.
Modify Responses: Προσπαθήστε να τροποποιήσετε τις απαντήσεις πριν επεξεργαστούν από τον περιηγητή ή την εφαρμογή για να προσομοιώσετε ένα σενάριο επιτυχούς συναλλαγής.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)