Bypass Payment Process
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
लेन-देन प्रक्रिया के दौरान, ग्राहक और सर्वर के बीच आदान-प्रदान किए जा रहे डेटा की निगरानी करना महत्वपूर्ण है। यह सभी अनुरोधों को इंटरसेप्ट करके किया जा सकता है। इन अनुरोधों के भीतर, महत्वपूर्ण निहितार्थ वाले पैरामीटर की तलाश करें, जैसे:
Success: यह पैरामीटर अक्सर लेन-देन की स्थिति को इंगित करता है।
Referrer: यह उस स्रोत की ओर इशारा कर सकता है जहाँ से अनुरोध उत्पन्न हुआ।
Callback: इसका उपयोग आमतौर पर लेन-देन पूरा होने के बाद उपयोगकर्ता को रीडायरेक्ट करने के लिए किया जाता है।
यदि आप किसी पैरामीटर का सामना करते हैं जिसमें एक URL है, विशेष रूप से एक जो example.com/payment/MD5HASH के पैटर्न का अनुसरण करता है, तो इसकी निकटता से जांच करने की आवश्यकता है। यहाँ एक चरण-दर-चरण दृष्टिकोण है:
Copy the URL: पैरामीटर मान से URL निकालें।
New Window Inspection: कॉपी किए गए URL को एक नए ब्राउज़र विंडो में खोलें। यह क्रिया लेन-देन के परिणाम को समझने के लिए महत्वपूर्ण है।
Change Parameter Values: Success, Referrer, या Callback जैसे पैरामीटर के मानों को बदलने का प्रयोग करें। उदाहरण के लिए, एक पैरामीटर को false से true में बदलने से कभी-कभी यह पता चल सकता है कि सिस्टम इन इनपुट्स को कैसे संभालता है।
Remove Parameters: यह देखने के लिए कुछ पैरामीटर को पूरी तरह से हटाने का प्रयास करें कि सिस्टम कैसे प्रतिक्रिया करता है। कुछ सिस्टम अपेक्षित पैरामीटर के गायब होने पर फॉलबैक या डिफ़ॉल्ट व्यवहार हो सकते हैं।
Examine Cookies: कई वेबसाइटें कुकीज़ में महत्वपूर्ण जानकारी संग्रहीत करती हैं। भुगतान स्थिति या उपयोगकर्ता प्रमाणीकरण से संबंधित किसी भी डेटा के लिए इन कुकीज़ की जांच करें।
Modify Cookie Values: कुकीज़ में संग्रहीत मानों को बदलें और देखें कि वेबसाइट की प्रतिक्रिया या व्यवहार कैसे बदलता है।
Session Tokens: यदि भुगतान प्रक्रिया में सत्र टोकन का उपयोग किया जाता है, तो उन्हें कैप्चर और हेरफेर करने का प्रयास करें। यह सत्र प्रबंधन कमजोरियों के बारे में अंतर्दृष्टि दे सकता है।
Intercept Responses: सर्वर से प्रतिक्रियाओं को इंटरसेप्ट और विश्लेषण करने के लिए उपकरणों का उपयोग करें। किसी भी डेटा की तलाश करें जो सफल लेन-देन को इंगित कर सकता है या भुगतान प्रक्रिया में अगले चरणों को प्रकट कर सकता है।
Modify Responses: ब्राउज़र या एप्लिकेशन द्वारा संसाधित होने से पहले प्रतिक्रियाओं को संशोधित करने का प्रयास करें ताकि सफल लेन-देन परिदृश्य का अनुकरण किया जा सके।
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
