Bypass Payment Process
Reading time: 3 minutes
tip
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ondersteun HackTricks
- Kyk na die subskripsie planne!
- Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
- Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.
Payment Bypass Techniques
Request Interception
Tydens die transaksieproses is dit van kardinale belang om die data wat tussen die kliënt en die bediener uitgewissel word, te monitor. Dit kan gedoen word deur alle versoeke te onderskep. Binne hierdie versoeke, let op vir parameters met beduidende implikasies, soos:
- Success: Hierdie parameter dui dikwels die status van die transaksie aan.
- Referrer: Dit kan na die bron verwys waarvandaan die versoek ontstaan het.
- Callback: Dit word tipies gebruik om die gebruiker te herlei nadat 'n transaksie voltooi is.
URL Analysis
As jy 'n parameter teëkom wat 'n URL bevat, veral een wat die patroon example.com/payment/MD5HASH volg, benodig dit nader ondersoek. Hier is 'n stap-vir-stap benadering:
- Copy the URL: Trek die URL uit die parameterwaarde.
- New Window Inspection: Maak die gekopieerde URL in 'n nuwe blaaiervenster oop. Hierdie aksie is krities om die uitkoms van die transaksie te verstaan.
Parameter Manipulation
- Change Parameter Values: Eksperimenteer deur die waardes van parameters soos Success, Referrer, of Callback te verander. Byvoorbeeld, om 'n parameter van
false
natrue
te verander, kan soms onthul hoe die stelsel hierdie insette hanteer. - Remove Parameters: Probeer om sekere parameters heeltemal te verwyder om te sien hoe die stelsel reageer. Sommige stelsels mag terugval of standaardgedrag hê wanneer verwagte parameters ontbreek.
Cookie Tampering
- Examine Cookies: Baie webwerwe stoor belangrike inligting in koekies. Ondersoek hierdie koekies vir enige data wat verband hou met betalingsstatus of gebruikersverifikasie.
- Modify Cookie Values: Verander die waardes wat in die koekies gestoor is en observeer hoe die webwerf se reaksie of gedrag verander.
Session Hijacking
- Session Tokens: As sessietokens in die betalingsproses gebruik word, probeer om hulle te vang en te manipuleer. Dit kan insigte bied in kwesbaarhede in sessiebestuur.
Response Tampering
- Intercept Responses: Gebruik gereedskap om die antwoorde van die bediener te onderskep en te analiseer. Soek vir enige data wat 'n suksesvolle transaksie kan aandui of die volgende stappe in die betalingsproses kan onthul.
- Modify Responses: Probeer om die antwoorde te verander voordat hulle deur die blaaiers of die toepassing verwerk word om 'n suksesvolle transaksiescenario na te boots.
tip
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ondersteun HackTricks
- Kyk na die subskripsie planne!
- Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
- Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.