Evet geldik benim alanıma
Siteden bankaya, bankadan siteye, siteden tekrar siteye tarzında sanal pos sistemlerinde inanılmaz bir açık var. Sadece öğeyi denetlemek değil o basit kaçıyor biraz. Tamper Data isimli eklenti ile giden postları durdurup tamamen değiştirebiliyoruz ve gizli gelen postlarıda görebiliyoruz.
Ben önlemimi şu şekilde aldım. Giden postları session içerisine alıp bankaya gönderdim. Bankadan gelen değerler ile session'daki değerler bir mi diye kontrol ettim. Bir ise eğer curl kullanarak bankaya tekrardan elimde ki postlar ila bankanın sisteminde bulunan postlar bir mi diye kontrol ettim. Böylelikle fiyat değiştirildiyse veya ödeme başarısızsa başarılıya çevirilemiyor. Ben bunun haricinde ince bir kontrol daha yaptım asıl önemlisi bu fakat sizin sanal pos kullanma amacınız tam olarak nedir onu bilmediğim için hocam.
--->
Ayriyetten sizden bankaya giden tutar değiştirilse ne olacak ki ? 50 TL'lik ödemeyi post ile gönderilirken 5 tl olarak çevirip sisteme geri dönüşte 50 tl olarak mı gösteriyorlar ?
Tutar değiştirilse atıyorum şöyle bir senaryo çıkabilir ortaya. Örneğin hizmet satıyoruz, gizli bir video veya eğitim seti gibi. Videoyu izleyebilmek için ödeme yapmam gerekiyor. Videonun ücreti 10 tl. Satın alma formundan giden verilerle oynuyorum, 10 tl yerine çok daha az bir tutar ödüyorum. Eğer sistem "
ödeme başarılı mı? Başarılı değil mi?" şeklinde işliyorsa burada açık var demektir. Şahsen bu yöntemle çalışan bir kaç siteye denk geldim. Doğru olan, ödemenin başarılı olup olmadığı değil, kullanıcının verdiği tutarla ürünün tutarının karşılaştırılmasıdır.