Daniel Medo Posted March 5, 2012 Share Posted March 5, 2012 Zdravím, nedávno sa mi do rúk dostal platobný modul trustpay ktorý pre firmu Trustpay vytvorila tretia strana (čítaj iná firma). Keďže platobné moduly pre prestashop veľa firiem nevytvára, určite prídete na to kto ho vytvoril. Tento modul obsahuje obrovskú bezpečnostnú dieru, cez ktorú si útočník môže zaplatiť objednávku bez toho aby reálne za objednávku zaplatil cez internet banking banky. Kde je problém: problém je vo validačnom skripte ktorý overuje dáta z banky a podľa týchto dát vytvára alebo nevytvára objednávku v eshope. Konkrétne ide o súbor validation.php . Validačný skript v tomto module neoveruje absolutne nič, porovnáva sa jeden jediný parameter z banky ktorý môže byť 0 alebo 1, neporovnáva sa žiadny bezpečnostný reťazec. Nebudem sem zverejňovať postup ako túto chybu obísť, napíšem len že obídenie je veľmi jednoduché a na 100% otestované. Preto odporúčam všetkým zákazníkom firmy trustpay ktorí používajú tento modul aby požadovali od firmy trustpay nápravu. Všetkým zákazníkom trustpay ktorí používajú daný modul môžem názorne ukázať (bezplatne) ako sa dá objednávka v eshope zaplatiť bez toho aby obchodníkovi prišli na účet peniaze. Postup je ľahké opakovať pri každej objednávke ktorú zákazník platí cez modul trustpay. Ak má niekto ďalšie otázky, môže ma kontaktovať cez súkromnú správu tu na fóre. Bezpečnostnú chybu v tomto module som pred dvomi týždňami poslal niekoľkým osobám vo firme trustpay, keďže som doteraz nedostal žiadnu odpoveď, rozhodol som sa takto varovať komunitu, aby zbytočne nedošlo k žiadnym problémom v budúcnosti. Daniel Medo Link to comment Share on other sites More sharing options...
TrustPay Posted August 17, 2012 Share Posted August 17, 2012 Dobry den p. Medo, Chceme sa Vam ospravedlnit, ze sme Vas nekontaktovali hned, ako ste nam oznamili chybu v nasom systeme. Dakujeme Vam, ze ste nas na tuto chybu upozornili a este v ten den sme tuto bezpecnostnu medzeru odstranili. Radi by sme ubezpecili kazdeho, ze tato chyba bola odstranena este zaciatkom marca a preto ziadne nebezpecenstvo urcite nehrozi. V sucasnosti tento modul na vyzadanie bezplatne poskytujeme. Prijmite teda este raz nase ospravedlnenie p. Medo, ze sme Vas okamzite nekontaktovali. S pozdravom, Peter Nagy Marketing and PR specialist TrustPay e-mail: [email protected] www.trustpay.eu 1 Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now