Bypass Payment Process

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Try Hard Security Group

Join the Try Hard Security Discord Server!Discord

Techniki Ominięcia Płatności

Przechwytywanie Żądań

Podczas procesu transakcji kluczowe jest monitorowanie danych wymienianych między klientem a serwerem. Można to zrobić, przechwytując wszystkie żądania. W tych żądaniach zwróć uwagę na parametry o znaczących implikacjach, takie jak:

Success: Ten parametr często wskazuje status transakcji.
Referrer: Może wskazywać źródło, z którego pochodziło żądanie.
Callback: Zwykle używany do przekierowywania użytkownika po zakończeniu transakcji.

Analiza URL

Jeśli napotkasz parametr zawierający URL, szczególnie jeden w formacie example.com/payment/MD5HASH, wymaga to dokładniejszej analizy. Oto podejście krok po kroku:

Skopiuj URL: Wyodrębnij URL z wartości parametru.
Inspekcja w Nowym Oknie: Otwórz skopiowany URL w nowym oknie przeglądarki. Ta akcja jest kluczowa dla zrozumienia wyniku transakcji.

Manipulacja Parametrami

Zmień Wartości Parametrów: Eksperymentuj, zmieniając wartości parametrów takich jak Success, Referrer lub Callback. Na przykład, zmiana parametru z false na true może czasami ujawnić, jak system obsługuje te dane wejściowe.
Usuń Parametry: Spróbuj usunąć niektóre parametry całkowicie, aby zobaczyć, jak system reaguje. Niektóre systemy mogą mieć mechanizmy awaryjne lub domyślne zachowania, gdy oczekiwane parametry są nieobecne.

Manipulacja Ciasteczkami

Zbadaj Ciasteczka: Wiele stron internetowych przechowuje kluczowe informacje w ciasteczkach. Sprawdź te ciasteczka pod kątem danych związanych ze statusem płatności lub uwierzytelnieniem użytkownika.
Zmień Wartości Ciasteczek: Zmień wartości przechowywane w ciasteczkach i obserwuj, jak zmienia się odpowiedź lub zachowanie strony internetowej.

Przechwytywanie Sesji

Tokeny Sesji: Jeśli w procesie płatności używane są tokeny sesji, spróbuj je przechwycić i manipulować nimi. Może to dać wgląd w luki w zarządzaniu sesjami.

Manipulacja Odpowiedziami

Przechwytywanie Odpowiedzi: Użyj narzędzi do przechwytywania i analizy odpowiedzi z serwera. Szukaj danych, które mogą wskazywać na udaną transakcję lub ujawniać następne kroki w procesie płatności.
Modyfikacja Odpowiedzi: Spróbuj zmodyfikować odpowiedzi przed ich przetworzeniem przez przeglądarkę lub aplikację, aby zasymulować scenariusz udanej transakcji.

Try Hard Security Group

Join the Try Hard Security Discord Server!Discord

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PreviousBrowExt - XSS Example NextCaptcha Bypass

Last updated 7 days ago