Как не нужно интегрировать платёжные системы

А Вы тоже доверяете своим программистам? Мы идём к Вам!

Внимание: данную статью не следует воспринимать как руководство юного хакера; материал приведён исключительно в ознакомительных целях, чтобы программисты не повторяли подобных ошибок. Итак, имеем платёжную форму (информация, идентифицирующая сайт, затёрта): Ничего сверхестественного: нам предлагают купить некую услугу за $99 в месяц. Всё как обычно. Интересные вещи начинаются, когда смотришь на детали формы: Для тех, кто [...]

← Вернуться к полной версии записи «Как не нужно интегрировать платёжные системы»…

Вложения:

amount-charged (image/png)
payment-successful (image/png)
changed-amount (image/png)
Invalid Amount (image/png)
Информация о форме (image/png)
Исходная форма (image/png)

Автор: Vladimir; опубликовано в: Безопасность; метки: безопасность, взлом, спуфинг, уязвимость

21
Ноя
2008

Комментарии к статье «Как не нужно интегрировать платёжные системы» (9) »

Yohan

Ноябрь 21, 2008 в 06:52

Сомнительно как-то все это… Мне кажется в современных, популярных платежных системах такие трюки не пройдут…

Ответить
Vladimir

Ноябрь 21, 2008 в 07:01

Просто у программиста, который интегрировал SecurePay, были кривые руки. Точно так же (криво) можно и PayPal поставить, и WorldPay, и всё, что угодно. Мораль басни такова, что нужно не лениться отсылать требуемые значения из скрипта, а не надеяться, что добрый пользователь не отредактирует форму в FireBug или Web Developer.

В частности, вот кусок кода с сайта:

[-]

View Code PHP

$params = array_merge($_GET, $_POST); //Уже плохо!
//...
$a = array(
'merchantID' => $merchantID,
'password' => $password,
'amount' => $params['a'], //Вот оно пришло с формы - безо всяких проверок
'clientID' => $clientID,
'currency' => $currency,
'cardNumber' => $params['cc'],
'cvv' => $params['cvv'],
'expiryDate' => "{$params['expiry_date']['month']}/{$params['expiry_date']['year']}"
);
$xml = xmlForAddingTriggeredCreditCardPayment($a);
// Add customer to Securepay!
$response = securepayXMLtoArray( securepayProcess($payment_url, $xml, $debug) );

Программёр сэкономил три строчки:

[-]

View Code PHP

$membership = get_membership_by_id($temp_user->membership_id);
$amount = $membership->trial_days > 0 ? $membership->trial_price : $membership->fee;
$amount *= 100;

А заказчик “нагрелся” на $98 с первой же попытки.

Ответить
Vladimir

Ноябрь 21, 2008 в 07:04

Чтобы не было путаницы с терминологией: SecurePay — это платёжная система, а скрипт, это та хрень, в которую интегрирована работа с SecurePay.

Ответить
Александр

Июнь 14, 2009 в 11:44

С нашими Яндексом и Webmoney, такое, по-моему, не прокатит.

Ответить
- Vladimir
  
  Июнь 14, 2009 в 11:58
  
  Всё зависит от внутренней реализации скрипта.
  
  Ответить
Andrey

Декабрь 18, 2009 в 16:17

мне кажется что это рыба… Ну уязвимость конечно есть, но несущественная, сам имею похожую форму pay pal можно заплатить за заказ 1$ пожалуйста, только вам его никто не доставит, ну получили мы платеж на 1$ ну клиент спрашивает, де мой 600 мерседес? а мы спрашиваем де наши 30 000$ вот собственно и все… Результата никакого, кроме создания сотрудникам гемороя

Ответить
- Vladimir
  
  Декабрь 18, 2009 в 16:27
  
  Андрей, это на membership-сайте. Пользователь платит за контент. Как только платёж прошел, он получает доступ. Пока (и если) владелец сайта обнаружит, что пришёл неверный платёж, пользователь успеет скачать всё, что нужно.
  
  Ответить
- Vladimir
  
  Декабрь 19, 2009 в 09:33
  
  Ну вот смысл подписываться на комментарии, если почтовый сервер делает hard bounce?
  
  Ответить
Владимир

Март 5, 2012 в 11:00

Любопыпто….Я как то не задумывался WebMoney на на предмет проверки вводимых данных протестировать.

Ответить