?

Log in

free_bin in webdistortion

Платёжные системы типа Яндекс/WM/RBK/Mail

Товарищ! Будь на чеку!

Во всех указанных в сабже платёжках используется примерно один алгоритм:
  1. Формируем форму, отправляем в ПС.
  2. ПС проверяет асинхронным запросом к нам корректность. (Не все ПС)
  3. Клиент платит
  4. Нам приходит подтверждение от ПС либо мы запрашиваем его.

Во всех манах для выкуривания написано русским по белому, красным по монитору: ПРОВЕРЯЙТЕ СУММУ.

Так вот её действительно нужно проверять. Ибо пользователь, вооружённый FireBug`ом или его близким родственником беспрепятственно меняет сумму на 1 у.ё. и у.ё. бывает довольным.

И самое западло: в системе-то заказ остаётся неизменным. И если бухгалтерия в выписке не обратит внимания на заказ в 1 рубль -- всё. Хвостов не найдёшь.

Очевидно? Обзовёте Кэпом? Не страшно. Страшно так в лужу сесть. Находил такие дырки на весьма и весьма распальцованных сайтах компаний, занимающихся безопасностью в IT-сфере.

Comments