Bypass Payment Process
Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Payment Bypass Techniques
Request Interception
Während des Transaktionsprozesses ist es entscheidend, die Daten zu überwachen, die zwischen dem Client und dem Server ausgetauscht werden. Dies kann durch das Abfangen aller Anfragen erfolgen. Achte innerhalb dieser Anfragen auf Parameter mit erheblichen Auswirkungen, wie zum Beispiel:
Success: Dieser Parameter zeigt oft den Status der Transaktion an.
Referrer: Er könnte auf die Quelle hinweisen, von der die Anfrage stammt.
Callback: Dies wird typischerweise verwendet, um den Benutzer nach Abschluss einer Transaktion weiterzuleiten.
URL Analysis
Wenn du auf einen Parameter stößt, der eine URL enthält, insbesondere eine, die dem Muster example.com/payment/MD5HASH folgt, ist eine genauere Untersuchung erforderlich. Hier ist ein schrittweiser Ansatz:
Kopiere die URL: Extrahiere die URL aus dem Parameterwert.
Untersuchung im neuen Fenster: Öffne die kopierte URL in einem neuen Browserfenster. Diese Aktion ist entscheidend, um das Ergebnis der Transaktion zu verstehen.
Parameter Manipulation
Ändere Parameterwerte: Experimentiere, indem du die Werte von Parametern wie Success, Referrer oder Callback änderst. Zum Beispiel kann das Ändern eines Parameters von
false
auftrue
manchmal zeigen, wie das System mit diesen Eingaben umgeht.Entferne Parameter: Versuche, bestimmte Parameter ganz zu entfernen, um zu sehen, wie das System reagiert. Einige Systeme könnten Rückfall- oder Standardverhalten haben, wenn erwartete Parameter fehlen.
Cookie Tampering
Untersuche Cookies: Viele Websites speichern wichtige Informationen in Cookies. Überprüfe diese Cookies auf Daten, die mit dem Zahlungsstatus oder der Benutzerauthentifizierung zusammenhängen.
Ändere Cookie-Werte: Ändere die in den Cookies gespeicherten Werte und beobachte, wie sich die Antwort oder das Verhalten der Website ändert.
Session Hijacking
Session Tokens: Wenn Session-Token im Zahlungsprozess verwendet werden, versuche, sie zu erfassen und zu manipulieren. Dies könnte Einblicke in Schwachstellen im Sitzungsmanagement geben.
Response Tampering
Intercept Responses: Verwende Tools, um die Antworten vom Server abzufangen und zu analysieren. Achte auf Daten, die auf eine erfolgreiche Transaktion hinweisen oder die nächsten Schritte im Zahlungsprozess offenbaren könnten.
Modify Responses: Versuche, die Antworten zu ändern, bevor sie vom Browser oder der Anwendung verarbeitet werden, um ein Szenario für eine erfolgreiche Transaktion zu simulieren.
Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Last updated