Bypass Payment Process

Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Überprüfe die Abonnementpläne!
Tritt der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folge uns auf Twitter 🐦 @hacktricks_live.
Teile Hacking-Tricks, indem du PRs zu den HackTricks und HackTricks Cloud GitHub-Repos einreichst.

Payment Bypass Techniques

Request Interception

Während des Transaktionsprozesses ist es entscheidend, die Daten zu überwachen, die zwischen dem Client und dem Server ausgetauscht werden. Dies kann durch das Abfangen aller Anfragen erfolgen. Achte innerhalb dieser Anfragen auf Parameter mit erheblichen Auswirkungen, wie zum Beispiel:

Success: Dieser Parameter zeigt oft den Status der Transaktion an.
Referrer: Er könnte auf die Quelle hinweisen, von der die Anfrage stammt.
Callback: Dies wird typischerweise verwendet, um den Benutzer nach Abschluss einer Transaktion weiterzuleiten.

URL Analysis

Wenn du auf einen Parameter stößt, der eine URL enthält, insbesondere eine, die dem Muster example.com/payment/MD5HASH folgt, ist eine genauere Untersuchung erforderlich. Hier ist ein schrittweiser Ansatz:

Kopiere die URL: Extrahiere die URL aus dem Parameterwert.
Untersuchung im neuen Fenster: Öffne die kopierte URL in einem neuen Browserfenster. Diese Aktion ist entscheidend, um das Ergebnis der Transaktion zu verstehen.

Parameter Manipulation

Ändere Parameterwerte: Experimentiere, indem du die Werte von Parametern wie Success, Referrer oder Callback änderst. Zum Beispiel kann das Ändern eines Parameters von false auf true manchmal zeigen, wie das System mit diesen Eingaben umgeht.
Entferne Parameter: Versuche, bestimmte Parameter ganz zu entfernen, um zu sehen, wie das System reagiert. Einige Systeme könnten Rückfall- oder Standardverhalten haben, wenn erwartete Parameter fehlen.

Untersuche Cookies: Viele Websites speichern wichtige Informationen in Cookies. Überprüfe diese Cookies auf Daten, die mit dem Zahlungsstatus oder der Benutzerauthentifizierung zusammenhängen.
Ändere Cookie-Werte: Ändere die in den Cookies gespeicherten Werte und beobachte, wie sich die Antwort oder das Verhalten der Website ändert.

Session Hijacking

Session Tokens: Wenn Session-Token im Zahlungsprozess verwendet werden, versuche, sie zu erfassen und zu manipulieren. Dies könnte Einblicke in Schwachstellen im Sitzungsmanagement geben.

Response Tampering

Intercept Responses: Verwende Tools, um die Antworten vom Server abzufangen und zu analysieren. Achte auf Daten, die auf eine erfolgreiche Transaktion hinweisen oder die nächsten Schritte im Zahlungsprozess offenbaren könnten.
Modify Responses: Versuche, die Antworten zu ändern, bevor sie vom Browser oder der Anwendung verarbeitet werden, um ein Szenario für eine erfolgreiche Transaktion zu simulieren.