Created by potrace 1.13, written by Peter Selinger 2001-2015 LOGO

Обнаружена брешь в платежной системе QIWI

Игорь Бахарев
08 Января 2012, в 12:13, в
Обнаружена брешь в платежной системе QIWI
Это косяк самой платежной системы.

В процессе тестирования HTTP и SOAP протоколов обнаружена неприятная вещь - можно сформировать поддельный http-запрос от интернет-магазина (ИМ) на выставление счета, заблокировав передачу реального запроса.

В поддельном запросе изменяется сумма на гораздо меньшую. После оплаты счета на уменьшенную сумму статус заказа в ИМ на основании данных в SOAP-ответе автоматически изменяется на "Оплачен". Таким образом, теоретически можно обмануть ИМ (если не отслеживать уведомления и счета на сайте qiwi.ru), купив товар совсем не за ту цену, которая указана в ИМ. Например, я только-что купил сам у себя автомобильный колесный диск стоимостью 3385 руб. всего лишь за 5 руб.

Написал в тех. поддержку QIWI с подробным изложением проблемы и примером реализации обмана. В качестве решения проблемы предложил либо добавлять хэш к запросу на выставление счета, либо в SOAP-ответе передавать в ИМ оплаченную сумму. А лучше реализовать и то, и другое.

Буду ждать от них ответа.

А пока рекомендую сравнивать суммы оплаченных заказов в своем ИМ и в личном кабинете на qiwi.ru.

Источник (http://viarts.ru/forum/raznoe/1825-obnaruzhena-bresh-v-platezhnoi-sisteme-qiwi.html)

Комментарии к статье

comments powered by HyperComments