В этой статье мы узнаем, как обойти 3D-оплату на любом сайте.
Хорошо построенному веб-сайту будет сложнее обойти оплату за доступ к частному/платному контенту. Некоторые веб-сайты со слабой безопасностью даже позволят вам приобрести товар без оплаты, если вы правильно угадаете URL-адреса контента. Эта лазейка может быть связана с тем, что разработчик не проверяет свой доступ ко всему контенту, что позволяет обойти оплату картой.
Даже некоторые веб-сайты, использующие CMS, такие как Joomla и WordPress, были созданы разработчиками без реальных знаний о безопасности сайта, и платежную страницу таких веб-сайтов можно легко обойти.
Платежный шлюз предназначен для защиты любой конфиденциальной информации, которую пользователи предоставляют в процессе оплаты. Эта система шифрует такие данные, как информация о карте и реквизиты банковского счета, чтобы защитить пользователя.
На типичном платежном шлюзе, когда клиент размещает заказ, а затем нажимает кнопку оформления заказа, веб-сайт электронной коммерции перенаправляет его на платежный шлюз, где он вводит любую необходимую информацию о банке или карте для оплаты. Затем платежный шлюз направляет пользователя к банку-эмитенту или на защищенную страницу 3D для авторизации транзакции.
После одобрения транзакции банк покупателя проверяет баланс клиента, чтобы проверить, достаточен он или недостаточен, и уведомляет продавца.
Если ответ банка «Нет», продавец вернет покупателю сообщение об ошибке, информируя его о проблеме, возникшей с его картой. Однако, если ответ «Да», продавец запрашивает транзакцию в банке — затем банк одобряет платеж и уведомляет клиента о размещении заказа.
Имейте в виду, что транзакция включает в себя конфиденциальную информацию пользователя, включая банковские реквизиты и данные карты. Таким образом, банк должен быть уверен в своей безопасности.
Из-за хеш-функции система обычно использует подписанный продавцом запрос для проверки запросов на транзакции. Подписанный запрос обычно является секретным словом, известным только платежному шлюзу и продавцу. IP-адрес запрашивающего сервера также проверяется для выявления вредоносной активности, чтобы обеспечить безопасность результата платежной страницы.
Оказывается, эквайеры, эмитенты и платежные шлюзы переходят на аутентификацию виртуального плательщика (VPA) для дополнительной безопасности. При реализации в соответствии с протоколом 3-D безопасности VPA обеспечивает уровень безопасности, упрощая онлайн-аутентификацию покупателей и продавцов.
Информационный поток — это всего лишь механизм, помогающий совершать транзакции на различных веб-сайтах. А когда вы поймете, как работают транзакции на веб-сайте, вы легко обойдете платежи по кредитным картам и будете делать больше покупок бесплатно.
В этом разделе мы обсудим, как вы можете обойти оплату кредитной картой на веб-сайте.
Для этого метода проверьте, доступна ли стоимость товара в скрытом элементе HTML-формы веб-сайта.
Когда вы выбираете товар для покупки, цена добавляется к общей сумме товара, берется из скрытого поля и заполняется в форме. Наконец, общая сумма представляется покупателю. У вас должно получиться что-то вроде:
Когда вы изменяете цену, фактическая цена никогда не отражается в корзине, поэтому вы покупаете все, что хотите, не расплачиваясь кредитной картой.
Для этого метода цена товара обычно не находится в скрытом поле формы, поэтому вы не можете просто изменить HTML и добавить товар в корзину.
Чтобы обойти платеж по кредитной карте на веб-сайте с помощью Burp Suite, вы вручную включаете перехват и манипулируете стоимостью в перехваченном пакете, как только вы находитесь на платежном шлюзе.
После того, как вы отредактируете цену товара через перехватчик, перешлите пакет, чтобы обойти платеж по кредитной карте на этой странице.
Хэши — это метод, который проверяет целостность сообщений, отправляемых со страницы оплаты веб-сайта электронной коммерции на платежный шлюз, включая цену продукта для оплаты. Транзакция будет одобрена только в том случае, если хэши, отправленные до и после, совпадают.
a. Определите параметры и технику
хеширования Многие поставщики систем безопасности считают хэш безопасным. Однако, при более глубоком копании на конкретном веб-сайте электронной коммерции, вы можете выяснить систему и взломать.
Просто покопайтесь в рецептуре гашиша. Вы можете начать с просмотра публикаций, сделанных разработчиком веб-сайта о том, как их хэш-формулировка, а также другие важные детали, которые помогут вам обойти страницу кредитной карты. Поиск документации, содержащей используемые параметры, а также технику хеширования, используемую в системе, может занять некоторое время.
b. Найдите пароль
Когда вы выясняете параметры, обычно присутствующие в перехватываемом пакете, вы делаете несколько шагов. Одним из параметров является используемый пароль, известный только администратору. Чтобы найти пароль, вы можете использовать грубую силу или использовать атаку по словарю после объединения параметров.
c. Взломать С
помощью пароля вы можете создать свой хэш с измененной ценой товара, чтобы купить его из корзины без оплаты. Вы должны быть быстры, прежде чем администратор изменит пароль.
Получить пароль может быть непросто. В некоторых случаях разработчик может просто скопировать тот же пароль, что и в документации, что делает безопасность платежного шлюза уязвимой для вас, чтобы обойти платеж по кредитной карте на веб-сайте.
Просто найдите поля количества или аналогичные в захваченных пакетах в программном обеспечении Burp Suite и внесите изменения. Например:
Статья не моя, хотелось бы узнать ваши мнения
Хорошо построенному веб-сайту будет сложнее обойти оплату за доступ к частному/платному контенту. Некоторые веб-сайты со слабой безопасностью даже позволят вам приобрести товар без оплаты, если вы правильно угадаете URL-адреса контента. Эта лазейка может быть связана с тем, что разработчик не проверяет свой доступ ко всему контенту, что позволяет обойти оплату картой.
Даже некоторые веб-сайты, использующие CMS, такие как Joomla и WordPress, были созданы разработчиками без реальных знаний о безопасности сайта, и платежную страницу таких веб-сайтов можно легко обойти.
Платежный шлюз предназначен для защиты любой конфиденциальной информации, которую пользователи предоставляют в процессе оплаты. Эта система шифрует такие данные, как информация о карте и реквизиты банковского счета, чтобы защитить пользователя.
На типичном платежном шлюзе, когда клиент размещает заказ, а затем нажимает кнопку оформления заказа, веб-сайт электронной коммерции перенаправляет его на платежный шлюз, где он вводит любую необходимую информацию о банке или карте для оплаты. Затем платежный шлюз направляет пользователя к банку-эмитенту или на защищенную страницу 3D для авторизации транзакции.
После одобрения транзакции банк покупателя проверяет баланс клиента, чтобы проверить, достаточен он или недостаточен, и уведомляет продавца.
Если ответ банка «Нет», продавец вернет покупателю сообщение об ошибке, информируя его о проблеме, возникшей с его картой. Однако, если ответ «Да», продавец запрашивает транзакцию в банке — затем банк одобряет платеж и уведомляет клиента о размещении заказа.
Имейте в виду, что транзакция включает в себя конфиденциальную информацию пользователя, включая банковские реквизиты и данные карты. Таким образом, банк должен быть уверен в своей безопасности.
Как информация защищается платежным шлюзом
Транзакция, осуществляемая на веб-сайте, осуществляется через веб-адрес HTTPS, который отличается от HTTP. Буква «S» означает «безопасный», что означает, что транзакция проходит через защищенный туннель.Из-за хеш-функции система обычно использует подписанный продавцом запрос для проверки запросов на транзакции. Подписанный запрос обычно является секретным словом, известным только платежному шлюзу и продавцу. IP-адрес запрашивающего сервера также проверяется для выявления вредоносной активности, чтобы обеспечить безопасность результата платежной страницы.
Оказывается, эквайеры, эмитенты и платежные шлюзы переходят на аутентификацию виртуального плательщика (VPA) для дополнительной безопасности. При реализации в соответствии с протоколом 3-D безопасности VPA обеспечивает уровень безопасности, упрощая онлайн-аутентификацию покупателей и продавцов.
Информационный поток — это всего лишь механизм, помогающий совершать транзакции на различных веб-сайтах. А когда вы поймете, как работают транзакции на веб-сайте, вы легко обойдете платежи по кредитным картам и будете делать больше покупок бесплатно.
В этом разделе мы обсудим, как вы можете обойти оплату кредитной картой на веб-сайте.
1. Изменить скрытый элемент HTML
Этот метод проще и используется на плохо защищенных веб-сайтах - вам просто нужно манипулировать суммой продукта для покупки на странице оплаты кредитной картой.Для этого метода проверьте, доступна ли стоимость товара в скрытом элементе HTML-формы веб-сайта.
Когда вы выбираете товар для покупки, цена добавляется к общей сумме товара, берется из скрытого поля и заполняется в форме. Наконец, общая сумма представляется покупателю. У вас должно получиться что-то вроде:
Чтобы обойти оплату кредитной картой на этой странице оплаты, вы просто меняете цену продукта в скрытом поле формы, содержащем цену.
Когда вы изменяете цену, фактическая цена никогда не отражается в корзине, поэтому вы покупаете все, что хотите, не расплачиваясь кредитной картой.
2. Перехват платежей с помощью Burp Suite
С помощью программного обеспечения Burp Suite вы можете манипулировать суммой товара, которую хотите купить в Интернете с помощью кредитной карты, изменив цену на 0 или любую другую сумму, которую вы можете себе позволить.Для этого метода цена товара обычно не находится в скрытом поле формы, поэтому вы не можете просто изменить HTML и добавить товар в корзину.
Чтобы обойти платеж по кредитной карте на веб-сайте с помощью Burp Suite, вы вручную включаете перехват и манипулируете стоимостью в перехваченном пакете, как только вы находитесь на платежном шлюзе.
После того, как вы отредактируете цену товара через перехватчик, перешлите пакет, чтобы обойти платеж по кредитной карте на этой странице.
3. Измените хэш, чтобы обойти кредитную карту
Многие веб-сайты имеют надежную защиту для проверки уязвимостей, упомянутых в предыдущем разделе, которые вы можете легко обойти с помощью кредитной карты. Более безопасные веб-сайты используют такую систему, как хэш, для защиты платежной страницы.Хэши — это метод, который проверяет целостность сообщений, отправляемых со страницы оплаты веб-сайта электронной коммерции на платежный шлюз, включая цену продукта для оплаты. Транзакция будет одобрена только в том случае, если хэши, отправленные до и после, совпадают.
a. Определите параметры и технику
хеширования Многие поставщики систем безопасности считают хэш безопасным. Однако, при более глубоком копании на конкретном веб-сайте электронной коммерции, вы можете выяснить систему и взломать.
Просто покопайтесь в рецептуре гашиша. Вы можете начать с просмотра публикаций, сделанных разработчиком веб-сайта о том, как их хэш-формулировка, а также другие важные детали, которые помогут вам обойти страницу кредитной карты. Поиск документации, содержащей используемые параметры, а также технику хеширования, используемую в системе, может занять некоторое время.
b. Найдите пароль
Когда вы выясняете параметры, обычно присутствующие в перехватываемом пакете, вы делаете несколько шагов. Одним из параметров является используемый пароль, известный только администратору. Чтобы найти пароль, вы можете использовать грубую силу или использовать атаку по словарю после объединения параметров.
c. Взломать С
помощью пароля вы можете создать свой хэш с измененной ценой товара, чтобы купить его из корзины без оплаты. Вы должны быть быстры, прежде чем администратор изменит пароль.
Получить пароль может быть непросто. В некоторых случаях разработчик может просто скопировать тот же пароль, что и в документации, что делает безопасность платежного шлюза уязвимой для вас, чтобы обойти платеж по кредитной карте на веб-сайте.
Советы, как обойти безопасность платежной страницы веб-сайта
Некоторые из советов, которые помогут вам превзойти платеж по кредитной карте веб-сайта:1. Ознакомьтесь с документацией по платежному шлюзу
Вы хотите ознакомиться с документацией по платежному шлюзу, предоставленной разработчиками веб-сайта продавца. В документации вы можете найти важную информацию, с которой вы можете работать, чтобы обойти платеж по кредитной карте на сайте продавца, например:- Сообщение об успешном завершении транзакции
- Код успеха транзакции
- Хеш-параметры и техника
- Ответные сообщения
- Данные промокода
- код ответа и т.д.
2. Рассмотрите возможность изменения количества продукта
Помимо простого изменения цены продукта на странице кредитной карты на веб-сайте продавца или на платежном шлюзе, вы можете изменить количество, что уменьшит сумму, которую вы взимаете за товар.Просто найдите поля количества или аналогичные в захваченных пакетах в программном обеспечении Burp Suite и внесите изменения. Например:
Сейчас
Если цена обеспечена серверной стороной таким образом, вы пытаетесь манипулировать количеством, чтобы заплатить намного меньше.
3. Нечеткие другие параметры
Другие параметры, которые вы можете попробовать фаззинг, включают:- Сумма кошелька
- Промокоды
- Стоимость доставки
Статья не моя, хотелось бы узнать ваши мнения
