Jump to content
Search In
  • More options...
Find results that contain...
Find results in...

 Уязвимость создания заказа при его оплате

mbkwork1
 Share

Recommended Posts

mbkwork1 Contributor

mbkwork1

Posted
Posted

Ситуация следующая. Используется модуль LiqPay c доработкой (двумя строчками кода где успешна оплата - редирект на checkout/success, неуспешная на checkout/failure)

При неуспешной оплате переадресовывает на checkout/failure, однако, если изменить ссылку в браузере на checkout/success, создается заказ, будь-то оплата прошла.

 

Такая себе интересная уязвимость для клиента)

 

Кто-то сталкивался с такой проблемой, есть ли какие-то идеи и в какую сторону копать?

Link to comment
Share on other sites

mbkwork1 Contributor

mbkwork1

Posted
  • Author
Posted
21.09.2022 в 11:09, spectre сказал:

 

сделать нормально и проверять ответ от ликпея

ответ проверяется, в зависимости от ответа идет редирект на успешный/неуспешный заказ.

какие ещё данные должны изменятся, или, передаваться при неуспешном статусе оплаты?

Link to comment
Share on other sites

spectre Grand Master

spectre

Posted
Posted
21.09.2022 в 11:11, mbkwork1 сказал:

ответ проверяется, в зависимости от ответа идет редирект на успешный/неуспешный заказ.

какие ещё данные должны изменятся, или, передаваться при неуспешном статусе оплаты?

 

вам нужен не редирект а изменение статуса заказа по коллбеку а не по ссылке куда переходит пользователь, это вроде очевидно

 

пошли на оплату - статус ожидание оплаты

человек оплатил статус оплачено

не оплатил - не оплачено

  • +1 1
Link to comment
Share on other sites
1
1
1
1

mbkwork1 Contributor

mbkwork1

Posted
  • Author
Posted
21.09.2022 в 11:12, spectre сказал:

 

вам нужен не редирект а изменение статуса заказа по коллбеку а не по ссылке куда переходит пользователь, это вроде очевидно

 

пошли на оплату - статус ожидание оплаты

человек оплатил статус оплачено

не оплатил - не оплачено

принято. будем разбираться.

Link to comment
Share on other sites

mbkwork1 Contributor

mbkwork1

Posted
  • Author
Posted
21.09.2022 в 11:12, spectre сказал:

 

вам нужен не редирект а изменение статуса заказа по коллбеку а не по ссылке куда переходит пользователь, это вроде очевидно

 

пошли на оплату - статус ожидание оплаты

человек оплатил статус оплачено

не оплатил - не оплачено

чеерт) действительно не было никаких проверок по статусу оплаты. а модуль LiqPay по дефолту создавал заказ, никак не проверяя статус) Спасибо за наводку!

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Go to topic listing

Покупцям

Розробникам

Корисна інформація

Останні розширення

×
×
  • Create New...

Important Information

On our site, cookies are used and personal data is processed to improve the user interface. To find out what and what personal data we are processing, please go to the link. If you click "I agree," it means that you understand and accept all the conditions specified in this Privacy Notice.

  I accept