Skocz do zawartości
MicroVPS.pl

Poważne błędy popełniane przez programistów w płatnościach dotpay.pl oraz paypal.pl

Polecane posty

Regularnie przeglądając bezpieczeństwo różnych skryptów natknąłem się na dwa poważne błędy popełniane przez programistów w implementacji płatności dotpay.pl oraz paypal.pl. Jeśli masz niezgodności w płatnościach i zauważyłeś brakującą gotówkę, to możliwe że zawdzięczasz to właśnie tym bugom.

 

Wszystkie poradniki, które znalazłem w internecie na temat implementacji przelewów online dotpay.pl lub paypal.pl nie są nic warte, pozwalają zainicjować sztuczną płatność i opłacić usługę na trybie testowym innego konta. Pozwolę sobie zademonstrować jak powyższy problem działa.

Do przeprowadzenia sztucznej inicjacji płatności będziemy potrzebowali własne konto dotpay.pl z uruchomionym trybem testowym.

 

Uruchamiamy konsolę, dzięki której będziemy mogli modyfikować dane w formularzu.

 

ss1.png

 

Szczególnie będą nas interesowały dwa pola ID oraz URLC, jeśli nie będziemy mieli do niego dostępu nie mamy szans przeprowadzić inicjacji, chyba że mamy wgląd do skryptu bądź znamy link pliku księgowości.

 

Pole ID zmieniamy na swój numer identyfikacyjny z uruchomionym trybem testowym, po czym wywołujemy formularz. Zostaniemy przekierowani do płatności w trybie testowym na naszym koncie.

 

ss2.png

Pozostało nam jedynie opłacić produkt i powrócić do sklepu.

 

ss3.png

 

Jeśli skrypt jest nieprawidłowo napisany i nie posiada identyfikacji według dokumentacji dotpay.pl możemy być pewni że operator wyślę ze swoich adresów IP potwierdzenie dokonania płatności, których sklep nie zobaczy nawet na oczy.

 

Dokładnie ta sama sytuacja jest w paypal, jednak tutaj musimy posiadać dwa konta. Ja akurat testowałem na prywatnym i firmowym, stąd wiem że problem istnieje.

 

ss4.png

 

Podobnie jak w dotpay.pl modyfikujemy odbiorcę jednak w tym przypadku business na swój adres email nr. 1. Po przekierowaniu do płatności z konta nr. 2 dokonujemy opłaty.

W tym momencie paypal wysyła pod notify_url potwierdzenie dokonania płatności, a my otrzymujemy swój produkt.

 

Mój temat powstał w celu uświadomieniu ludziom, że nie warto korzystać z paneli tak zwanych "składaków" takie skrypty nie są zazwyczaj nic warte. Łącznie prosperujących sklepów z tymi płatnościami zweryfikowałem przynajmniej z 30 z czego połowa nie posiadała zabezpieczenia w żadnym z tych przypadków. To, że w tym gronie są bardzo popularne firmy i hostingi oznacza, że problem jest poważny. Oczywiście, poinformowałem o błędach, wątpię że pierwszy to dostrzegłem dlatego warto poinformować wszystkich, że istnieją takie błędy i warto się przed nimi zabezpieczać.

 

Mam nadzieje, że pomogłem,

Dominik.

  • Upvote 3

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×