Просто помни об уголовной ответственности
С нижеизложенным я сражался - имел прецеденты и писал защиты.
1. Покупаешь прокси или пишешь парсер проксей (понадобится безголовый браузер)
2. Пишешь обертку чтобы CURL автоматически проверял и менял прокси более менее разумно или всегда
3. Открываешь сайт и панель Ф12 - там вкладка Network. Пробуешь купить (даже если денег нет, но кнопка купить есть). Смотришь что на сервер отправляется. Может банально кто-то цену зашил в запрос, хотя это совсем глупая ошибка. Бывает прикол что зачисляешь деньги на сайт, делаешь заказ, потом заказ отменяешь, а отмена написана криво и требует 2 секунды времени. За эти две секунды скриптом можно 1000 раз отменить заказ и получить 1000 возвратов
4. Смотришь в режиме где потыкать, что поменять. В идеале найти чувака который уже покупал и на боевом посмотреть как процесс происходит
5. Дальше уже начинаешь играть в иньекции и взлом, в поля форм пхаешь sql - закрывающие кавычки, точки с запятыми. Пытаешься вызвать Critical mysql error. Если получилось - наощуп танцуешь от этого. Если нет - пытаешься яваскрипт код сунуть в формы, но там где есть форма комментариев например, код должен отсылать тебе куки других посетителей, чтобы ты успел под их именем зайти пока сессия не устарела и за их счёт купить
Но уже много лет как от всего этого написаны защиты. И программистов держат на работе чтобы таких приколов не было.
Процесс на самом деле не из весёлых и не легкий ни разу, бывает проще найти владельца и убедить его тебе дать, чем без его ведома ломануть его сайт. Но иногда везёт