4 ответов в данной теме

[Marat Nuriev (WMID 351452824016 )]

Сегодня возникла такая проблема:

Есть result_url.php, в нём выполняется скрипт. Описываю условно: если цена оплаченная покупателем больше цены товара, то покупатель получает товар. Если меньше ничего не получает. Работает в совместимости с MySQL.

Беда в том, что на результ_урл поступила сумма большая цены товара, к примеру 67$ везде это зафиксировалось. Но на кипер пришла сумма 0,01$

Я очень удивлён. Так как товаром был чек Paymer.

Надвигается вопрос: WebMoney утверждает "По ходу покупки покупатель, не может изменить цену", как тогда поступила на результ_урл сумма большая, чем та которую заплатил покупатель?

Оплата, по всей вероятности происходила с мобильного кипера. Так как ошибки на кипер поступали. Писалось, что оплата не может быть совершенна, так как нарушен порядок операций. И что самое интересное: рядом написан путь до моего результа_урла. Я думаю это взлом.

Вопрос второй: как можно узнать результ_урл? Как защититься от этого?

И можно как то, посмотреть скрипты на result_url.php если права стоят (644)

 

P.S.: Ошибки в скриптах быть не может, до этого работало всё нормально около 7 месяцев.

[236056308153 (WMID 236056308153 )]

Данные приходящие на Result URL надо обязательно проверять.
Проверять как их целостность, так и их источник.
Какая проверка стоит у Вас ?

Обработка платежей у Вас идет с предварительным запросом?

В форме оповещения о платеже приходит такой параметр как  LMI_SYS_TRANS_NO (Номер платежа в системе WebMoney Transfer)
С помощью ХML интерфейсов можно запросить данные об этом платеже и еще раз проверить поступившую сумму.

>> И можно как то, посмотреть скрипты на result_url.php если права стоят (644)

Администратор сервера (хостинга) может все.

 

 

[Михаил (WMID 163783549463 )]

Администратор сервера (хостинга) может все.

Смею не согласиться, сам ради на эксперимента пробовал описанный способ (http://www.ibm.com/d...xpathinjection/) на многих сайтах и не только доморощенных, результат плачевный. не важно ХМЛ или СКУЛЬ, факт в том что разрабочик пренебрегает соблюдением примитивных правил.

[Таратинов (WMID 950909101320 )]

>> как можно узнать результ_урл? Как защититься от этого?

результ_урл указывается в форме, которая уходит на сервер WM - скрыть её никак не получится.

Для защиты от такого мошенничества надо использовать MD5 хеш - его невозможно подделать и это даст практически 100% защиту, а хостерам думаю ваши скрипты не нужны, им и так есть чем заняться

PS - сам делал проплату на сайте, сделал спустя рукава и потерял кучу денег из-за того, что не сделал проверку MD5 подписи с сервера - так что лучше сделать сразу всё аккуратно и правильно

[Никита Сергеевич (WMID 359869635012 )]

результ_урл указывается в форме, которая уходит на сервер WM - скрыть её никак не получится.

Не всегда так! Это только в том случаи, если стоит ЗАМЕНА результ_юрл. А если результ_юрл указан ТОЛЬКО в настройках торгового кошелька в Мерчанте, то узнать его нелья.