Обнаружена брешь в платежной системе QIWI
Игорь Бахарев
Это косяк самой платежной системы.
В процессе тестирования HTTP и SOAP протоколов обнаружена неприятная вещь - можно сформировать поддельный http-запрос от интернет-магазина (ИМ) на выставление счета, заблокировав передачу реального запроса.
В поддельном запросе изменяется сумма на гораздо меньшую. После оплаты счета на уменьшенную сумму статус заказа в ИМ на основании данных в SOAP-ответе автоматически изменяется на "Оплачен". Таким образом, теоретически можно обмануть ИМ (если не отслеживать уведомления и счета на сайте qiwi.ru), купив товар совсем не за ту цену, которая указана в ИМ. Например, я только-что купил сам у себя автомобильный колесный диск стоимостью 3385 руб. всего лишь за 5 руб.
Написал в тех. поддержку QIWI с подробным изложением проблемы и примером реализации обмана. В качестве решения проблемы предложил либо добавлять хэш к запросу на выставление счета, либо в SOAP-ответе передавать в ИМ оплаченную сумму. А лучше реализовать и то, и другое.
Буду ждать от них ответа.
А пока рекомендую сравнивать суммы оплаченных заказов в своем ИМ и в личном кабинете на qiwi.ru.
Источник (http://viarts.ru/forum/raznoe/1825-obnaruzhena-bresh-v-platezhnoi-sisteme-qiwi.html)
Подписаться на новости
Прочитаете,
когда вам будет удобно
Свежий дайджест из мира
eCommerce у вас в почте