Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

 Уязвимость создания заказа при его оплате

mbkwork1
 Share

Recommended Posts

mbkwork1 Contributor

mbkwork1

Опубліковано:
Опубліковано:

Ситуация следующая. Используется модуль LiqPay c доработкой (двумя строчками кода где успешна оплата - редирект на checkout/success, неуспешная на checkout/failure)

При неуспешной оплате переадресовывает на checkout/failure, однако, если изменить ссылку в браузере на checkout/success, создается заказ, будь-то оплата прошла.

 

Такая себе интересная уязвимость для клиента)

 

Кто-то сталкивался с такой проблемой, есть ли какие-то идеи и в какую сторону копать?

Надіслати
Поділитися на інших сайтах

spectre Grand Master

spectre

Опубліковано:
Опубліковано:
21.09.2022 в 11:00, mbkwork1 сказал:

в какую сторону копать?

 

сделать нормально и проверять ответ от ликпея

  • +1 1
Надіслати
Поділитися на інших сайтах
1
1
1
1

mbkwork1 Contributor

mbkwork1

Опубліковано:
  • Автор
Опубліковано:
21.09.2022 в 11:09, spectre сказал:

 

сделать нормально и проверять ответ от ликпея

ответ проверяется, в зависимости от ответа идет редирект на успешный/неуспешный заказ.

какие ещё данные должны изменятся, или, передаваться при неуспешном статусе оплаты?

Надіслати
Поділитися на інших сайтах

spectre Grand Master

spectre

Опубліковано:
Опубліковано:
21.09.2022 в 11:11, mbkwork1 сказал:

ответ проверяется, в зависимости от ответа идет редирект на успешный/неуспешный заказ.

какие ещё данные должны изменятся, или, передаваться при неуспешном статусе оплаты?

 

вам нужен не редирект а изменение статуса заказа по коллбеку а не по ссылке куда переходит пользователь, это вроде очевидно

 

пошли на оплату - статус ожидание оплаты

человек оплатил статус оплачено

не оплатил - не оплачено

  • +1 1
Надіслати
Поділитися на інших сайтах
1
1
1
1

mbkwork1 Contributor

mbkwork1

Опубліковано:
  • Автор
Опубліковано:
21.09.2022 в 11:12, spectre сказал:

 

вам нужен не редирект а изменение статуса заказа по коллбеку а не по ссылке куда переходит пользователь, это вроде очевидно

 

пошли на оплату - статус ожидание оплаты

человек оплатил статус оплачено

не оплатил - не оплачено

принято. будем разбираться.

Надіслати
Поділитися на інших сайтах

mbkwork1 Contributor

mbkwork1

Опубліковано:
  • Автор
Опубліковано:
21.09.2022 в 11:12, spectre сказал:

 

вам нужен не редирект а изменение статуса заказа по коллбеку а не по ссылке куда переходит пользователь, это вроде очевидно

 

пошли на оплату - статус ожидание оплаты

человек оплатил статус оплачено

не оплатил - не оплачено

чеерт) действительно не было никаких проверок по статусу оплаты. а модуль LiqPay по дефолту создавал заказ, никак не проверяя статус) Спасибо за наводку!

Надіслати
Поділитися на інших сайтах

Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
 Share
Перейти до списку тем

  • Зараз на сторінці   0 користувачів

    • Ні користувачів, які переглядиють цю сторінку

Покупцям

Розробникам

Корисна інформація

Останні розширення

×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.

  Я даю згоду