0
Kayıt Ol

Sanalpos ödeme hakkında

11

1.202

  • 23-04-2014, 11:17:58
    #10
    rob33n
    rob33n
    Kimlik doğrulama veya yönetimden onay bekliyor.
    Post ederken değerleri session veya hidden alanlardan okursanız değiştirilmesini engellersiniz.
    Ek olarak SSL kullanmıyor musunuz? Giden paketi durdurup görse bile çözemez. Değiştirse de hangi bit neyi temsil ediyor bilemez. En ufak bir değişiklik anahtar'ların değişmesine ve birbiri ile tutmamasına neden olur ve işlem gerçekleşmez.
    Geri dönen cevapta ise size komple class(object) gönderiliyor. Buda yaptığınız işlemin tüm detaylarını görebilirsiniz demek.
  • 23-04-2014, 12:14:03
    #11
    ulast
    ulast
    Quismo adlı üyeden alıntı: mesajı görüntüle
    Ben bir est classı ile direk post gönderiyorum tutarı , kart bilgilerini vs, gönderiyorum derken tam bu kısımdayım güvenliği sağlayıp öyle göndermem gerek

    Yazdığınız yöntemler gayet mantıklı teşekkür ederim. bu ve buna benzer başka bir açık vs yöntemler varsa fikrinizi alabilirsem ben ve benim gini düşününen arkadaşlara yardımcı olmuş oluruz. başka neler olabilir acaba diyerek.
    tamam zaten bende onu diyorum. EST nin 

    $hashstr        = $clientId . $oid . $amount . $okUrl . $failUrl . $islemtipi . $rnd . $storekey;
                    $hash           = base64_encode(pack('H*',sha1($hashstr)));
    böyle bir olayı var tüm verileri hashliyor bankaya post ediyor gelen verileri banka üzerine tekrar hash edip karşılaştırma yapıyor. Hashler tutmuyorsa istediğin kadar 500.000 TL i 50 tl yap $amonut değeri de var bakın hash in içinde.
  • 24-04-2014, 00:14:21
    #12
    caxe
    caxe
    Üyeliği durduruldu
    BR9 adlı üyeden alıntı: mesajı görüntüle
    Evet geldik benim alanıma Siteden bankaya, bankadan siteye, siteden tekrar siteye tarzında sanal pos sistemlerinde inanılmaz bir açık var. Sadece öğeyi denetlemek değil o basit kaçıyor biraz. Tamper Data isimli eklenti ile giden postları durdurup tamamen değiştirebiliyoruz ve gizli gelen postlarıda görebiliyoruz.

    Ben önlemimi şu şekilde aldım. Giden postları session içerisine alıp bankaya gönderdim. Bankadan gelen değerler ile session'daki değerler bir mi diye kontrol ettim. Bir ise eğer curl kullanarak bankaya tekrardan elimde ki postlar ila bankanın sisteminde bulunan postlar bir mi diye kontrol ettim. Böylelikle fiyat değiştirildiyse veya ödeme başarısızsa başarılıya çevirilemiyor. Ben bunun haricinde ince bir kontrol daha yaptım asıl önemlisi bu fakat sizin sanal pos kullanma amacınız tam olarak nedir onu bilmediğim için hocam.

    --->

    Ayriyetten sizden bankaya giden tutar değiştirilse ne olacak ki ? 50 TL'lik ödemeyi post ile gönderilirken 5 tl olarak çevirip sisteme geri dönüşte 50 tl olarak mı gösteriyorlar ?
    Bilmiyordum bilgi için teşşekurler.