HackTricksBypass Payment Process
Reading time: 3 minutes
tip
Impara e pratica l'Hacking AWS:
HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica l'Hacking GCP: 
HackTricks Training GCP Red Team Expert (GRTE)
Supporta HackTricks
- Controlla i piani di abbonamento!
- Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
- Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repos di github.
Tecniche di Bypass del Pagamento
Intercettazione delle Richieste
Durante il processo di transazione, è fondamentale monitorare i dati scambiati tra il client e il server. Questo può essere fatto intercettando tutte le richieste. All'interno di queste richieste, fai attenzione ai parametri con implicazioni significative, come:
- Success: Questo parametro indica spesso lo stato della transazione.
- Referrer: Potrebbe indicare la fonte da cui è originata la richiesta.
- Callback: Questo è tipicamente usato per reindirizzare l'utente dopo che una transazione è stata completata.
Analisi dell'URL
Se incontri un parametro che contiene un URL, specialmente uno che segue il modello example.com/payment/MD5HASH, richiede un'analisi più approfondita. Ecco un approccio passo-passo:
- Copia l'URL: Estrai l'URL dal valore del parametro.
- Ispezione in Nuova Finestra: Apri l'URL copiato in una nuova finestra del browser. Questa azione è critica per comprendere l'esito della transazione.
Manipolazione dei Parametri
- Cambia i Valori dei Parametri: Sperimenta alterando i valori di parametri come Success, Referrer o Callback. Ad esempio, cambiare un parametro da
falseatruepuò a volte rivelare come il sistema gestisce questi input. - Rimuovi Parametri: Prova a rimuovere alcuni parametri del tutto per vedere come reagisce il sistema. Alcuni sistemi potrebbero avere fallback o comportamenti predefiniti quando i parametri attesi mancano.
Manomissione dei Cookie
- Esamina i Cookie: Molti siti web memorizzano informazioni cruciali nei cookie. Ispeziona questi cookie per eventuali dati relativi allo stato del pagamento o all'autenticazione dell'utente.
- Modifica i Valori dei Cookie: Alterare i valori memorizzati nei cookie e osservare come cambia la risposta o il comportamento del sito web.
Hijacking della Sessione
- Token di Sessione: Se i token di sessione sono utilizzati nel processo di pagamento, prova a catturarli e manipolarli. Questo potrebbe fornire informazioni sulle vulnerabilità nella gestione delle sessioni.
Manomissione delle Risposte
- Intercetta le Risposte: Usa strumenti per intercettare e analizzare le risposte dal server. Cerca eventuali dati che potrebbero indicare una transazione riuscita o rivelare i passaggi successivi nel processo di pagamento.
- Modifica le Risposte: Tenta di modificare le risposte prima che vengano elaborate dal browser o dall'applicazione per simulare uno scenario di transazione riuscita.
tip
Impara e pratica l'Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica l'Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Supporta HackTricks
- Controlla i piani di abbonamento!
- Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
- Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repos di github.