0
Kayıt Ol

Sanalpos ödeme hakkında

11

1.202

  • 22-04-2014, 13:42:31
    #1
    Quismo
    Quismo
    Üyeliği durduruldu
    Merhaba arkadaşlar,

    Sanalpos entegresini yaptım ama aklıma takılan bankaya haliyle tutarı post gönderiyoruz, bu tutar'ı değiştirilemeden nasıl gönderebiliriz.Örnek veriyorum chrome ögeyi denetle'den tutarla oynanabilir durumda.
  • 22-04-2014, 14:10:02
    #2
    BR9
    BR9
    Quismo adlı üyeden alıntı: mesajı görüntüle
    Merhaba arkadaşlar,

    Sanalpos entegresini yaptım ama aklıma takılan bankaya haliyle tutarı post gönderiyoruz, bu tutar'ı değiştirilemeden nasıl gönderebiliriz.Örnek veriyorum chrome ögeyi denetle'den tutarla oynanabilir durumda.
    Evet geldik benim alanıma Siteden bankaya, bankadan siteye, siteden tekrar siteye tarzında sanal pos sistemlerinde inanılmaz bir açık var. Sadece öğeyi denetlemek değil o basit kaçıyor biraz. Tamper Data isimli eklenti ile giden postları durdurup tamamen değiştirebiliyoruz ve gizli gelen postlarıda görebiliyoruz.

    Ben önlemimi şu şekilde aldım. Giden postları session içerisine alıp bankaya gönderdim. Bankadan gelen değerler ile session'daki değerler bir mi diye kontrol ettim. Bir ise eğer curl kullanarak bankaya tekrardan elimde ki postlar ila bankanın sisteminde bulunan postlar bir mi diye kontrol ettim. Böylelikle fiyat değiştirildiyse veya ödeme başarısızsa başarılıya çevirilemiyor. Ben bunun haricinde ince bir kontrol daha yaptım asıl önemlisi bu fakat sizin sanal pos kullanma amacınız tam olarak nedir onu bilmediğim için hocam.

    --->

    Ayriyetten sizden bankaya giden tutar değiştirilse ne olacak ki ? 50 TL'lik ödemeyi post ile gönderilirken 5 tl olarak çevirip sisteme geri dönüşte 50 tl olarak mı gösteriyorlar ?
  • 22-04-2014, 14:58:38
    #3
    msgr
    msgr
    BR9 adlı üyeden alıntı: mesajı görüntüle
    Evet geldik benim alanıma Siteden bankaya, bankadan siteye, siteden tekrar siteye tarzında sanal pos sistemlerinde inanılmaz bir açık var. Sadece öğeyi denetlemek değil o basit kaçıyor biraz. Tamper Data isimli eklenti ile giden postları durdurup tamamen değiştirebiliyoruz ve gizli gelen postlarıda görebiliyoruz.

    Ben önlemimi şu şekilde aldım. Giden postları session içerisine alıp bankaya gönderdim. Bankadan gelen değerler ile session'daki değerler bir mi diye kontrol ettim. Bir ise eğer curl kullanarak bankaya tekrardan elimde ki postlar ila bankanın sisteminde bulunan postlar bir mi diye kontrol ettim. Böylelikle fiyat değiştirildiyse veya ödeme başarısızsa başarılıya çevirilemiyor. Ben bunun haricinde ince bir kontrol daha yaptım asıl önemlisi bu fakat sizin sanal pos kullanma amacınız tam olarak nedir onu bilmediğim için hocam.

    --->

    Ayriyetten sizden bankaya giden tutar değiştirilse ne olacak ki ? 50 TL'lik ödemeyi post ile gönderilirken 5 tl olarak çevirip sisteme geri dönüşte 50 tl olarak mı gösteriyorlar ?
    Tutar değiştirilse atıyorum şöyle bir senaryo çıkabilir ortaya. Örneğin hizmet satıyoruz, gizli bir video veya eğitim seti gibi. Videoyu izleyebilmek için ödeme yapmam gerekiyor. Videonun ücreti 10 tl. Satın alma formundan giden verilerle oynuyorum, 10 tl yerine çok daha az bir tutar ödüyorum. Eğer sistem "ödeme başarılı mı? Başarılı değil mi?" şeklinde işliyorsa burada açık var demektir. Şahsen bu yöntemle çalışan bir kaç siteye denk geldim. Doğru olan, ödemenin başarılı olup olmadığı değil, kullanıcının verdiği tutarla ürünün tutarının karşılaştırılmasıdır.
  • 22-04-2014, 15:31:39
    #4
    tecnohalil
    tecnohalil
    Bu konuda onlarca çözüm mevcut. Size fikir vermesi açısından çözümlerden örnekler vereceğim.

    1. Yöntem
    Tutar bilgisini SESSION olarak atayıp, gelen değerle eşleştirme yapabilirsiniz.

    2. Yöntem
    Eğer banka altyapınız destekliyorsa sizin oluşturduğunuz verileri önce serialize edip daha sonra md5 ile benzersiz bir anahtar oluşturup bankadan gelen anahtarla karşılaştırabilirsiniz. Örneğin siz 10TL dediyseniz gelen anahtardaki fiyat 2TL ise anahtarlar eşleşmeyecek haliylede işlem geçersiz sayılacaktır.

    3. Yöntem
    Kullandığınız yazılımda faturalar bir tabloda tutuluyor ise bankadan gelen tutar ile o müşteriye ait fatura tutarını karşılaştırabilirsiniz.


    Not: Bunun gibi onlarca yöntem üretilebilir, önemli olan sizin kullandığınız altyapı ve bankanızın desteklediği özelliklerdir.
  • 22-04-2014, 15:34:36
    #5
    BR9
    BR9
    msgr adlı üyeden alıntı: mesajı görüntüle
    Tutar değiştirilse atıyorum şöyle bir senaryo çıkabilir ortaya. Örneğin hizmet satıyoruz, gizli bir video veya eğitim seti gibi. Videoyu izleyebilmek için ödeme yapmam gerekiyor. Videonun ücreti 10 tl. Satın alma formundan giden verilerle oynuyorum, 10 tl yerine çok daha az bir tutar ödüyorum. Eğer sistem "ödeme başarılı mı? Başarılı değil mi?" şeklinde işliyorsa burada açık var demektir. Şahsen bu yöntemle çalışan bir kaç siteye denk geldim. Doğru olan, ödemenin başarılı olup olmadığı değil, kullanıcının verdiği tutarla ürünün tutarının karşılaştırılmasıdır.
    Benim bahsettiğim açık ise şu şekildeydi. Siteden bankaya değerler gidiyor. Kart bilgileri,tutar vs vs. Dönüş yapıldığında bankalar stabil olarak genellikle mdStatus 1 ise procreturncode 00 değil ise ödeme başarısız oluyor lakin bunu Tamper Data gibi bir eklenti ile 00 değilse 00 1 değilse 1 yapıp ödemeyi başarılı yapıyoruz sahte kredi kartı numaralarını kullanarak. Ben bu sorunu gidermiştim ve algoritmasını kurmak biraz sıkıyor insanın canını.
  • 22-04-2014, 16:25:53
    #6
    crazykurba
    crazykurba
    Kimlik doğrulama veya yönetimden onay bekliyor.
    değerin değişmesini istemiyorsan. formda görünen bir değer gönderme.
    post ettiğin değer değişken olsun.
  • 22-04-2014, 17:21:18
    #7
    BR9
    BR9
    crazykurba adlı üyeden alıntı: mesajı görüntüle
    değerin değişmesini istemiyorsan. formda görünen bir değer gönderme.
    post ettiğin değer değişken olsun.
    Önemli olan post olarak gitmesi sonuçta form'u kullanacak kişi php bilmiyor olabilir.
  • 23-04-2014, 08:53:39
    #8
    ulast
    ulast
    dediğinizi kendi yaptığım bir sistemde test ettim çalışmadı? siz tutar bilgisini falan hash yapmadan mı gönderiyorsunuz? Çünkü banka hash karşılaştırması yapıyor tutmazsa direk fail veriyor.
  • 23-04-2014, 10:48:31
    #9
    Quismo
    Quismo
    Üyeliği durduruldu
    Ben bir est classı ile direk post gönderiyorum tutarı , kart bilgilerini vs, gönderiyorum derken tam bu kısımdayım güvenliği sağlayıp öyle göndermem gerek

    Yazdığınız yöntemler gayet mantıklı teşekkür ederim. bu ve buna benzer başka bir açık vs yöntemler varsa fikrinizi alabilirsem ben ve benim gini düşününen arkadaşlara yardımcı olmuş oluruz. başka neler olabilir acaba diyerek.