HackTricksΠαράκαμψη Διαδικασίας Πληρωμής
Reading time: 3 minutes
tip
Μάθετε & εξασκηθείτε στο AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Azure Hacking: 
HackTricks Training Azure Red Team Expert (AzRTE)
Υποστηρίξτε το HackTricks
- Ελέγξτε τα σχέδια συνδρομής!
- Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
- Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.
Τεχνικές Παράκαμψης Πληρωμής
Παρεμβολή Αιτημάτων
Κατά τη διάρκεια της διαδικασίας συναλλαγής, είναι κρίσιμο να παρακολουθείτε τα δεδομένα που ανταλλάσσονται μεταξύ του πελάτη και του διακομιστή. Αυτό μπορεί να γίνει παρεμβαίνοντας σε όλα τα αιτήματα. Μέσα σε αυτά τα αιτήματα, προσέξτε παραμέτρους με σημαντικές επιπτώσεις, όπως:
- Επιτυχία: Αυτή η παράμετρος συχνά υποδεικνύει την κατάσταση της συναλλαγής.
- Αναφορά: Μπορεί να υποδεικνύει την πηγή από όπου προήλθε το αίτημα.
- Επιστροφή: Αυτή χρησιμοποιείται συνήθως για να ανακατευθύνει τον χρήστη μετά την ολοκλήρωση μιας συναλλαγής.
Ανάλυση URL
Αν συναντήσετε μια παράμετρο που περιέχει ένα URL, ειδικά αν ακολουθεί το μοτίβο example.com/payment/MD5HASH, απαιτείται πιο προσεκτική εξέταση. Ακολουθεί μια βήμα προς βήμα προσέγγιση:
- Αντιγραφή του URL: Εξαγάγετε το URL από την τιμή της παραμέτρου.
- Επιθεώρηση Νέου Παραθύρου: Ανοίξτε το αντιγραμμένο URL σε ένα νέο παράθυρο του προγράμματος περιήγησης. Αυτή η ενέργεια είναι κρίσιμη για την κατανόηση του αποτελέσματος της συναλλαγής.
Χειρισμός Παραμέτρων
- Αλλαγή Τιμών Παραμέτρων: Πειραματιστείτε αλλάζοντας τις τιμές παραμέτρων όπως Επιτυχία, Αναφορά ή Επιστροφή. Για παράδειγμα, η αλλαγή μιας παραμέτρου από
falseσεtrueμπορεί μερικές φορές να αποκαλύψει πώς το σύστημα χειρίζεται αυτές τις εισόδους. - Αφαίρεση Παραμέτρων: Δοκιμάστε να αφαιρέσετε ορισμένες παραμέτρους εντελώς για να δείτε πώς αντιδρά το σύστημα. Ορισμένα συστήματα μπορεί να έχουν εναλλακτικές ή προεπιλεγμένες συμπεριφορές όταν λείπουν αναμενόμενες παράμετροι.
Παρεμβολή Cookies
- Εξέταση Cookies: Πολλές ιστοσελίδες αποθηκεύουν κρίσιμες πληροφορίες σε cookies. Εξετάστε αυτά τα cookies για τυχόν δεδομένα που σχετίζονται με την κατάσταση πληρωμής ή την αυθεντικοποίηση χρήστη.
- Τροποποίηση Τιμών Cookies: Αλλάξτε τις τιμές που αποθηκεύονται στα cookies και παρατηρήστε πώς αλλάζει η απάντηση ή η συμπεριφορά της ιστοσελίδας.
Υφαρπαγή Συνεδρίας
- Tokens Συνεδρίας: Αν χρησιμοποιούνται tokens συνεδρίας στη διαδικασία πληρωμής, προσπαθήστε να τα συλλάβετε και να τα χειριστείτε. Αυτό μπορεί να δώσει πληροφορίες σχετικά με τις ευπάθειες διαχείρισης συνεδρίας.
Παρεμβολή Απαντήσεων
- Παρεμβολή Απαντήσεων: Χρησιμοποιήστε εργαλεία για να παρεμβαίνετε και να αναλύετε τις απαντήσεις από τον διακομιστή. Αναζητήστε τυχόν δεδομένα που μπορεί να υποδεικνύουν μια επιτυχημένη συναλλαγή ή να αποκαλύπτουν τα επόμενα βήματα στη διαδικασία πληρωμής.
- Τροποποίηση Απαντήσεων: Προσπαθήστε να τροποποιήσετε τις απαντήσεις πριν επεξεργαστούν από τον περιηγητή ή την εφαρμογή για να προσομοιώσετε ένα σενάριο επιτυχούς συναλλαγής.
tip
Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)
Υποστηρίξτε το HackTricks
- Ελέγξτε τα σχέδια συνδρομής!
- Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
- Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.