HackTricksOminięcie Procesu Płatności
Reading time: 3 minutes
tip
Ucz się i ćwicz AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Ucz się i ćwicz GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Wsparcie HackTricks
- Sprawdź plany subskrypcyjne!
- Dołącz do 💬 grupy Discord lub grupy telegram lub śledź nas na Twitterze 🐦 @hacktricks_live.
- Dziel się trikami hackingowymi, przesyłając PR-y do HackTricks i HackTricks Cloud repozytoriów github.
Techniki Ominięcia Płatności
Przechwytywanie Żądań
Podczas procesu transakcji kluczowe jest monitorowanie danych wymienianych między klientem a serwerem. Można to zrobić, przechwytując wszystkie żądania. W tych żądaniach zwróć uwagę na parametry o znaczących implikacjach, takie jak:
- Success: Ten parametr często wskazuje status transakcji.
- Referrer: Może wskazywać źródło, z którego pochodziło żądanie.
- Callback: Zwykle używany do przekierowywania użytkownika po zakończeniu transakcji.
Analiza URL
Jeśli napotkasz parametr zawierający URL, szczególnie jeden w formacie example.com/payment/MD5HASH, wymaga to dokładniejszej analizy. Oto podejście krok po kroku:
- Skopiuj URL: Wyodrębnij URL z wartości parametru.
- Inspekcja w Nowym Oknie: Otwórz skopiowany URL w nowym oknie przeglądarki. Ta akcja jest kluczowa dla zrozumienia wyniku transakcji.
Manipulacja Parametrami
- Zmień Wartości Parametrów: Eksperymentuj, zmieniając wartości parametrów takich jak Success, Referrer lub Callback. Na przykład, zmiana parametru z
falsenatruemoże czasami ujawnić, jak system obsługuje te dane wejściowe. - Usuń Parametry: Spróbuj usunąć niektóre parametry całkowicie, aby zobaczyć, jak system reaguje. Niektóre systemy mogą mieć mechanizmy awaryjne lub domyślne zachowania, gdy oczekiwane parametry są nieobecne.
Manipulacja Ciasteczkami
- Zbadaj Ciasteczka: Wiele stron internetowych przechowuje kluczowe informacje w ciasteczkach. Sprawdź te ciasteczka pod kątem danych związanych ze statusem płatności lub uwierzytelnieniem użytkownika.
- Zmień Wartości Ciasteczek: Zmień wartości przechowywane w ciasteczkach i obserwuj, jak zmienia się odpowiedź lub zachowanie strony internetowej.
Przechwytywanie Sesji
- Tokeny Sesji: Jeśli w procesie płatności używane są tokeny sesji, spróbuj je przechwycić i manipulować nimi. Może to dać wgląd w luki w zarządzaniu sesjami.
Manipulacja Odpowiedziami
- Przechwytywanie Odpowiedzi: Użyj narzędzi do przechwytywania i analizy odpowiedzi z serwera. Szukaj danych, które mogą wskazywać na udaną transakcję lub ujawniać następne kroki w procesie płatności.
- Zmień Odpowiedzi: Spróbuj zmodyfikować odpowiedzi przed ich przetworzeniem przez przeglądarkę lub aplikację, aby zasymulować scenariusz udanej transakcji.
tip
Ucz się i ćwicz AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się i ćwicz GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Wsparcie HackTricks
- Sprawdź plany subskrypcyjne!
- Dołącz do 💬 grupy Discord lub grupy telegram lub śledź nas na Twitterze 🐦 @hacktricks_live.
- Dziel się trikami hackingowymi, przesyłając PR-y do HackTricks i HackTricks Cloud repozytoriów github.