HackTricksBypass Payment Process
Reading time: 3 minutes
tip
Lernen & üben Sie AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Unterstützen Sie HackTricks
- Überprüfen Sie die Abonnementpläne!
- Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
- Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.
Payment Bypass Techniques
Request Interception
Während des Transaktionsprozesses ist es entscheidend, die Daten zu überwachen, die zwischen dem Client und dem Server ausgetauscht werden. Dies kann durch das Abfangen aller Anfragen erfolgen. Achten Sie innerhalb dieser Anfragen auf Parameter mit erheblichen Auswirkungen, wie zum Beispiel:
- Success: Dieser Parameter zeigt oft den Status der Transaktion an.
- Referrer: Er könnte auf die Quelle hinweisen, von der die Anfrage stammt.
- Callback: Dies wird typischerweise verwendet, um den Benutzer nach Abschluss einer Transaktion umzuleiten.
URL Analysis
Wenn Sie auf einen Parameter stoßen, der eine URL enthält, insbesondere eine, die dem Muster example.com/payment/MD5HASH folgt, ist eine genauere Untersuchung erforderlich. Hier ist ein schrittweiser Ansatz:
- Copy the URL: Extrahieren Sie die URL aus dem Parameterwert.
- New Window Inspection: Öffnen Sie die kopierte URL in einem neuen Browserfenster. Diese Aktion ist entscheidend, um das Ergebnis der Transaktion zu verstehen.
Parameter Manipulation
- Change Parameter Values: Experimentieren Sie, indem Sie die Werte von Parametern wie Success, Referrer oder Callback ändern. Zum Beispiel kann das Ändern eines Parameters von
falseauftruemanchmal zeigen, wie das System mit diesen Eingaben umgeht. - Remove Parameters: Versuchen Sie, bestimmte Parameter ganz zu entfernen, um zu sehen, wie das System reagiert. Einige Systeme könnten Rückfall- oder Standardverhalten haben, wenn erwartete Parameter fehlen.
Cookie Tampering
- Examine Cookies: Viele Websites speichern wichtige Informationen in Cookies. Untersuchen Sie diese Cookies auf Daten, die mit dem Zahlungsstatus oder der Benutzerauthentifizierung zusammenhängen.
- Modify Cookie Values: Ändern Sie die in den Cookies gespeicherten Werte und beobachten Sie, wie sich die Antwort oder das Verhalten der Website ändert.
Session Hijacking
- Session Tokens: Wenn Sitzungstoken im Zahlungsprozess verwendet werden, versuchen Sie, sie zu erfassen und zu manipulieren. Dies könnte Einblicke in Schwachstellen im Sitzungsmanagement geben.
Response Tampering
- Intercept Responses: Verwenden Sie Tools, um die Antworten vom Server abzufangen und zu analysieren. Suchen Sie nach Daten, die auf eine erfolgreiche Transaktion hinweisen oder die nächsten Schritte im Zahlungsprozess offenbaren könnten.
- Modify Responses: Versuchen Sie, die Antworten zu ändern, bevor sie vom Browser oder der Anwendung verarbeitet werden, um ein Szenario für eine erfolgreiche Transaktion zu simulieren.
tip
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Unterstützen Sie HackTricks
- Überprüfen Sie die Abonnementpläne!
- Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
- Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.