Сегодня возникла такая проблема:
Есть result_url.php, в нём выполняется скрипт. Описываю условно: если цена оплаченная покупателем больше цены товара, то покупатель получает товар. Если меньше ничего не получает. Работает в совместимости с MySQL.
Беда в том, что на результ_урл поступила сумма большая цены товара, к примеру 67$ везде это зафиксировалось. Но на кипер пришла сумма 0,01$
Я очень удивлён. Так как товаром был чек Paymer.
Надвигается вопрос: WebMoney утверждает "По ходу покупки покупатель, не может изменить цену", как тогда поступила на результ_урл сумма большая, чем та которую заплатил покупатель?
Оплата, по всей вероятности происходила с мобильного кипера. Так как ошибки на кипер поступали. Писалось, что оплата не может быть совершенна, так как нарушен порядок операций. И что самое интересное: рядом написан путь до моего результа_урла. Я думаю это взлом.
Вопрос второй: как можно узнать результ_урл? Как защититься от этого?
И можно как то, посмотреть скрипты на result_url.php если права стоят (644)
P.S.: Ошибки в скриптах быть не может, до этого работало всё нормально около 7 месяцев.
Взломан result_url !? Хакеры ломают WebMoney?!
Автор Marat Nuriev, мар 14 2008 17:30
4 ответов в данной теме
#1 Новичок
Отправлено 14 марта 2008 - 17:30
#2 Знаток
Отправлено 16 марта 2008 - 22:31
Данные приходящие на Result URL надо обязательно проверять.
Проверять как их целостность, так и их источник.
Какая проверка стоит у Вас ?
Обработка платежей у Вас идет с предварительным запросом?
В форме оповещения о платеже приходит такой параметр как LMI_SYS_TRANS_NO (Номер платежа в системе WebMoney Transfer)
С помощью ХML интерфейсов можно запросить данные об этом платеже и еще раз проверить поступившую сумму.
>> И можно как то, посмотреть скрипты на result_url.php если права стоят (644)
Администратор сервера (хостинга) может все.
Проверять как их целостность, так и их источник.
Какая проверка стоит у Вас ?
Обработка платежей у Вас идет с предварительным запросом?
В форме оповещения о платеже приходит такой параметр как LMI_SYS_TRANS_NO (Номер платежа в системе WebMoney Transfer)
С помощью ХML интерфейсов можно запросить данные об этом платеже и еще раз проверить поступившую сумму.
>> И можно как то, посмотреть скрипты на result_url.php если права стоят (644)
Администратор сервера (хостинга) может все.
WEBKIOSK.UA™
Пополнение Киевстар Пополнение Life:) Пополнение МТС Пополнение PeopleNet Пополнение Билайн Пополнение Интертелеком Пополнение Utel и др.
#3 Продвинутый пользователь
Отправлено 21 мая 2008 - 19:15
Администратор сервера (хостинга) может все.
Смею не согласиться, сам ради на эксперимента пробовал описанный способ (http://www.ibm.com/d...xpathinjection/) на многих сайтах и не только доморощенных, результат плачевный. не важно ХМЛ или СКУЛЬ, факт в том что разрабочик пренебрегает соблюдением примитивных правил.
#4 Новичок
Отправлено 05 августа 2008 - 19:17
>> как можно узнать результ_урл? Как защититься от этого?
результ_урл указывается в форме, которая уходит на сервер WM - скрыть её никак не получится.
Для защиты от такого мошенничества надо использовать MD5 хеш - его невозможно подделать и это даст практически 100% защиту, а хостерам думаю ваши скрипты не нужны, им и так есть чем заняться
PS - сам делал проплату на сайте, сделал спустя рукава и потерял кучу денег из-за того, что не сделал проверку MD5 подписи с сервера - так что лучше сделать сразу всё аккуратно и правильно
результ_урл указывается в форме, которая уходит на сервер WM - скрыть её никак не получится.
Для защиты от такого мошенничества надо использовать MD5 хеш - его невозможно подделать и это даст практически 100% защиту, а хостерам думаю ваши скрипты не нужны, им и так есть чем заняться
PS - сам делал проплату на сайте, сделал спустя рукава и потерял кучу денег из-за того, что не сделал проверку MD5 подписи с сервера - так что лучше сделать сразу всё аккуратно и правильно
#5 Участник
Отправлено 13 августа 2008 - 12:36
результ_урл указывается в форме, которая уходит на сервер WM - скрыть её никак не получится.
Не всегда так! Это только в том случаи, если стоит ЗАМЕНА результ_юрл. А если результ_юрл указан ТОЛЬКО в настройках торгового кошелька в Мерчанте, то узнать его нелья.
С Уважением, Никита Сергеевич
© WEB-Stil Info
Приму лимит доверия до 100 WMZ под 0.165%/день. Максимальный период: 30; Порядок погашения: в конце срока
© WEB-Stil Info
Приму лимит доверия до 100 WMZ под 0.165%/день. Максимальный период: 30; Порядок погашения: в конце срока