Bypass Payment Process

htARTE (HackTricks AWS Red Team Expert)를 통해 **제로부터 히어로까지 AWS 해킹 배우기**!

HackTricks를 지원하는 다른 방법:

회사가 HackTricks에 광고되길 원하거나 HackTricks를 PDF로 다운로드하려면 구독 요금제를 확인하세요!
공식 PEASS & HackTricks 스왜그를 구입하세요
The PEASS Family를 발견하세요, 당사의 독점 NFTs 컬렉션
💬 디스코드 그룹 또는 텔레그램 그룹에 가입하거나 트위터 🐦 @carlospolopm을 팔로우하세요.
HackTricks 및 HackTricks Cloud 깃허브 저장소에 PR을 제출하여 해킹 트릭을 공유하세요.

Try Hard Security Group

결제 우회 기술

요청 가로채기

거래 과정 중에는 클라이언트와 서버 간에 교환되는 데이터를 모니터링하는 것이 중요합니다. 이를 위해 모든 요청을 가로채는 것이 필요합니다. 이러한 요청 중에서 특히 중요한 영향을 미치는 매개변수를 찾아보세요.

Success: 이 매개변수는 종종 거래 상태를 나타냅니다.
Referrer: 요청이 어디에서 시작되었는지를 가리킬 수 있습니다.
Callback: 이는 일반적으로 거래 완료 후 사용자를 리디렉션하는 데 사용됩니다.

URL 분석

특히 _example.com/payment/MD5HASH_와 같은 패턴을 따르는 URL을 포함하는 매개변수를 만나면 더 면밀히 조사해야 합니다. 다음 단계를 따르세요:

URL 복사: 매개변수 값에서 URL을 추출합니다.
새 창 검사: 복사한 URL을 새 브라우저 창에서 엽니다. 이 작업은 거래 결과를 이해하는 데 중요합니다.

매개변수 조작

매개변수 값 변경: Success, Referrer, 또는 _Callback_과 같은 매개변수의 값을 변경해 실험해보세요. 예를 들어, 매개변수를 false에서 true로 변경하면 시스템이 이러한 입력을 처리하는 방법을 종종 확인할 수 있습니다.
매개변수 제거: 일부 매개변수를 완전히 제거하여 시스템이 어떻게 반응하는지 확인해보세요. 기대되는 매개변수가 누락될 때 일부 시스템은 대체 동작이나 기본 동작을 가질 수 있습니다.

쿠키 조작

쿠키 검사: 많은 웹사이트는 중요한 정보를 쿠키에 저장합니다. 결제 상태나 사용자 인증과 관련된 데이터가 있는지 쿠키를 검사하세요.
쿠키 값 수정: 쿠키에 저장된 값을 변경하고 웹사이트의 응답이나 동작이 어떻게 변하는지 관찰하세요.

세션 하이재킹

세션 토큰: 결제 과정에서 세션 토큰을 사용하는 경우 캡처하고 조작해보세요. 이를 통해 세션 관리 취약점에 대한 통찰을 얻을 수 있습니다.

응답 조작

응답 가로채기: 도구를 사용하여 서버로부터의 응답을 가로채고 분석하세요. 성공적인 거래를 나타내는 데이터나 결제 과정의 다음 단

PreviousBrowExt - XSS Example NextCaptcha Bypass

Last updated 1 month ago