Japanese - Ht

Bypass Payment Process

htARTE(HackTricks AWS Red Team Expert) を使用して、ゼロからヒーローまでAWSハッキングを学ぶ

HackTricks をサポートする他の方法:

  • HackTricks で企業を宣伝したいまたは HackTricks をPDFでダウンロードしたい場合は、SUBSCRIPTION PLANSをチェックしてください!

  • 公式PEASS&HackTricksスウォッグを入手する

  • The PEASS Familyを発見し、独占的なNFTsのコレクションを見る

  • **💬 Discordグループに参加するか、telegramグループに参加するか、Twitter 🐦で @carlospolopmをフォローする

  • HackTricksHackTricks CloudのGitHubリポジトリにPRを提出して、あなたのハッキングテクニックを共有してください。

Try Hard Security Group

支払いバイパステクニック

リクエストのインターセプト

取引プロセス中に、クライアントとサーバー間で交換されるデータを監視することが重要です。これはすべてのリクエストをインターセプトすることで行うことができます。これらのリクエストの中で、次のような重要な影響を持つパラメータに注意してください:

  • Success: このパラメータは、取引の状態を示すことがよくあります。

  • Referrer: リクエストの元のソースを指すことがあります。

  • Callback: これは通常、取引が完了した後にユーザーをリダイレクトするために使用されます。

URLの分析

特に example.com/payment/MD5HASH のパターンに従うURLを含むパラメータに遭遇した場合、これを詳しく調べる必要があります。以下はステップバイステップのアプローチです:

  1. URLをコピー: パラメータ値からURLを抽出します。

  2. 新しいウィンドウで検査: コピーしたURLを新しいブラウザウィンドウで開きます。このアクションは、取引の結果を理解するために重要です。

パラメータの操作

  1. パラメータの値を変更: SuccessReferrer、または Callback などのパラメータの値を変更して実験してみてください。たとえば、パラメータを false から true に変更すると、システムがこれらの入力をどのように処理するかがわかることがあります。

  2. パラメータを削除: 特定のパラメータを完全に削除して、システムがどのように反応するかを確認してみてください。期待されるパラメータが欠落している場合、一部のシステムにはフォールバックやデフォルトの動作があるかもしれません。

Cookieの改ざん

  1. Cookieの調査: 多くのウェブサイトは重要な情報をCookieに保存しています。これらのCookieを支払い状況やユーザー認証に関連するデータを調査してください。

  2. Cookieの値を変更: Cookieに保存されている値を変更し、ウェブサイトの応答や動作がどのように変化するかを観察してください。

セッションハイジャック

  1. セッショントークン: 支払いプロセスでセッショントークンが使用されている場合、それらをキャプチャして操作してみてください。これにより、セッション管理の脆弱性に関する洞察が得られるかもしれません。

レスポンスの改ざん

  1. レスポンスのインターセプト: ツールを使用してサーバーからのレスポンスをインターセプトして分析します。成功した取引を示す可能性のあるデータや支払いプロセスの次のステップを示す可能性のあるデータを探してください。

  2. レスポンスの変更: ブラウザやアプリケーションに処理される前に、レスポンスを変更して成功した取引シナリオをシミュレートしてみてください。

PreviousBrowExt - XSS ExampleNextCaptcha Bypass

Last updated