Poważne błędy popełniane przez programistów w płatnościach dotpay.pl oraz paypal.pl

[owner_2019]

Regularnie przeglądając bezpieczeństwo różnych skryptów natknąłem się na dwa poważne błędy popełniane przez programistów w implementacji płatności dotpay.pl oraz paypal.pl. Jeśli masz niezgodności w płatnościach i zauważyłeś brakującą gotówkę, to możliwe że zawdzięczasz to właśnie tym bugom.
 
Wszystkie poradniki, które znalazłem w internecie na temat implementacji przelewów online dotpay.pl lub paypal.pl nie są nic warte, pozwalają zainicjować sztuczną płatność i opłacić usługę na trybie testowym innego konta. Pozwolę sobie zademonstrować jak powyższy problem działa.

Do przeprowadzenia sztucznej inicjacji płatności będziemy potrzebowali własne konto dotpay.pl z uruchomionym trybem testowym. 
 
Uruchamiamy konsolę, dzięki której będziemy mogli modyfikować dane w formularzu.

 

 

 

Szczególnie będą nas interesowały dwa pola ID oraz URLC, jeśli nie będziemy mieli do niego dostępu nie mamy szans przeprowadzić inicjacji, chyba że mamy wgląd do skryptu bądź znamy link pliku księgowości.
 
Pole ID zmieniamy na swój numer identyfikacyjny z uruchomionym trybem testowym, po czym wywołujemy formularz. Zostaniemy przekierowani do płatności w trybie testowym na naszym koncie.

 

 

Pozostało nam jedynie opłacić produkt i powrócić do sklepu.

 

Jeśli skrypt jest nieprawidłowo napisany i nie posiada identyfikacji według dokumentacji dotpay.pl możemy być pewni że operator wyślę ze swoich adresów IP potwierdzenie dokonania płatności, których sklep nie zobaczy nawet na oczy.
 
Dokładnie ta sama sytuacja jest w paypal, jednak tutaj musimy posiadać dwa konta. Ja akurat testowałem na prywatnym i firmowym, stąd wiem że problem istnieje.

 

 

Podobnie jak w dotpay.pl modyfikujemy odbiorcę jednak w tym przypadku business na swój adres email nr. 1. Po przekierowaniu do płatności z konta nr. 2 dokonujemy opłaty. 
W tym momencie paypal wysyła pod notyfy_url potwierdzenie dokonania płatności, a my otrzymujemy swój produkt.
 
Mój temat powstał w celu uświadomieniu ludziom, że nie warto korzystać z paneli tak zwanych "składaków" takie skrypty nie są zazwyczaj nic warte. Łącznie prosperujących sklepów z tymi płatnościami zweryfikowałem przynajmniej z 30 z czego połowa nie posiadała zabezpieczenia w żadnym z tych przypadków. To, że w tym gronie są bardzo popularne firmy i hostingi oznacza, że problem jest poważny. Oczywiście, poinformowałem o błędach, wątpię że pierwszy to dostrzegłem dlatego warto poinformować wszystkich, że istnieją takie błędy i warto się przed nimi zabezpieczać. 

 

Autorem artykułu jest Dominik, FiberHost.pl

Oryginalny temat: (kliknij tutaj)