Jump to content

Varovanie pred používaním plat. modulu Trustpay


Daniel Medo

Recommended Posts

Zdravím,

 

nedávno sa mi do rúk dostal platobný modul trustpay ktorý pre firmu Trustpay vytvorila tretia strana (čítaj iná firma). Keďže platobné moduly pre prestashop veľa firiem nevytvára, určite prídete na to kto ho vytvoril.

 

Tento modul obsahuje obrovskú bezpečnostnú dieru, cez ktorú si útočník môže zaplatiť objednávku bez toho aby reálne za objednávku zaplatil cez internet banking banky.

 

Kde je problém:

 

problém je vo validačnom skripte ktorý overuje dáta z banky a podľa týchto dát vytvára alebo nevytvára objednávku v eshope. Konkrétne ide o súbor validation.php . Validačný skript v tomto module neoveruje absolutne nič, porovnáva sa jeden jediný parameter z banky ktorý môže byť 0 alebo 1, neporovnáva sa žiadny bezpečnostný reťazec.

 

Nebudem sem zverejňovať postup ako túto chybu obísť, napíšem len že obídenie je veľmi jednoduché a na 100% otestované. Preto odporúčam všetkým zákazníkom firmy trustpay ktorí používajú tento modul aby požadovali od firmy trustpay nápravu.

 

Všetkým zákazníkom trustpay ktorí používajú daný modul môžem názorne ukázať (bezplatne) ako sa dá objednávka v eshope zaplatiť bez toho aby obchodníkovi prišli na účet peniaze. Postup je ľahké opakovať pri každej objednávke ktorú zákazník platí cez modul trustpay.

 

Ak má niekto ďalšie otázky, môže ma kontaktovať cez súkromnú správu tu na fóre.

 

Bezpečnostnú chybu v tomto module som pred dvomi týždňami poslal niekoľkým osobám vo firme trustpay, keďže som doteraz nedostal žiadnu odpoveď, rozhodol som sa takto varovať komunitu, aby zbytočne nedošlo k žiadnym problémom v budúcnosti.

 

Daniel Medo

Link to comment
Share on other sites

  • 5 months later...

Dobry den p. Medo,

 

Chceme sa Vam ospravedlnit, ze sme Vas nekontaktovali hned, ako ste nam oznamili chybu v nasom systeme. Dakujeme Vam, ze ste nas na tuto chybu upozornili a este v ten den sme tuto bezpecnostnu medzeru odstranili.

 

Radi by sme ubezpecili kazdeho, ze tato chyba bola odstranena este zaciatkom marca a preto ziadne nebezpecenstvo urcite nehrozi. V sucasnosti tento modul na vyzadanie bezplatne poskytujeme.

 

Prijmite teda este raz nase ospravedlnenie p. Medo, ze sme Vas okamzite nekontaktovali.

 

S pozdravom,

 

Peter Nagy

 

Marketing and PR specialist TrustPay

 

e-mail: [email protected]

 

www.trustpay.eu

  • Like 1
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...