باگ امنیتی در فاکتورهای سیستم whmcs

با سلام

یکی از مشتریان ما ادعا می کنه با استفاده از مرورگر کروم و گزینه inspect element در صفحه viewinvoice.php می تونه فاکتور را به هر قیمتی که می خواد تغییر بده و پرداخت کنه بدون اینکه سیستم ایراد بگیره یا اینکه ماژول بانک ایراد بگیره

سوالم از دوستان و همکاران اینه که این مورد آیا صحت داره؟

من امتحان کردم خودم و در یک مورد شد و برای بارهای بعد هر کاری کردم نشد

نقل قول:

---

نوشته اصلی توسط Optimus

با سلام

یکی از مشتریان ما ادعا می کنه با استفاده از مرورگر کروم و گزینه inspect element در صفحه viewinvoice.php می تونه فاکتور را به هر قیمتی که می خواد تغییر بده و پرداخت کنه بدون اینکه سیستم ایراد بگیره یا اینکه ماژول بانک ایراد بگیره

سوالم از دوستان و همکاران اینه که این مورد آیا صحت داره؟

من امتحان کردم خودم و در یک مورد شد و برای بارهای بعد هر کاری کردم نشد

---

متاسفانه این سیستم هنوز به پایداری کاملی نرسیده است !!!

بفرمایید تست کنند اگر انجام دادند باگ رو به whmcs ریپورت کنید !

شما هم بهتر بود تاپیک ارسال نمیکردید تا روش و سر نخ را به سو استفاده دهندگان دهید.

ااقا سریع دوتا پست رو پاک کنید!خواهشا!
اگر واقعیت داشته باشه اصلا شوخی بردار نیست
حتما گزارش کنید به whmcs
ممنون

اشکالی نداره هر کسی میتونه دستکاری کنه ! از اون طرف شما سرویس رو غیر فعال کنید :)

نقل قول:

---

نوشته اصلی توسط hamra

اشکالی نداره هر کسی میتونه دستکاری کنه ! از اون طرف شما سرویس رو غیر فعال کنید :)

---

دوست عزیز یعنی تک تک چک کنم ببینم کی ویرایش کرده و...؟

نقل قول:

---

نوشته اصلی توسط Optimus

با سلام

یکی از مشتریان ما ادعا می کنه با استفاده از مرورگر کروم و گزینه inspect element در صفحه viewinvoice.php می تونه فاکتور را به هر قیمتی که می خواد تغییر بده و پرداخت کنه بدون اینکه سیستم ایراد بگیره یا اینکه ماژول بانک ایراد بگیره

سوالم از دوستان و همکاران اینه که این مورد آیا صحت داره؟

من امتحان کردم خودم و در یک مورد شد و برای بارهای بعد هر کاری کردم نشد

---

از چه درگاه پرداختی استفاده میکنید ؟

این اتفاق فقط و فقط وقتی میتونه بیافته ک در کال بک ب سایت شما مبلغ چک نشه !!

مثال :

کد PHP:

---

$result = $client->verify($au, $price, $bank ); 


---

دوستان مشکل جدی است! الان تست شد
یک فاکتور 20 هزار تومانی هاست سی پنل به 500 تومانی تبدیل شد و بعد با جهان پی پرداخت شد و سرویس فعال شد!

از درگاه بانک ملت استفاده می شه

به نظرم باید این مورد اطلاع رسانی بشه

همه بدونن و بانک ها بدون و whmcs هم بفهمه و باگ بر طرف بشه

درود
با پارس پال چک شد
تغیر انجام شد موقع واریز مبلغ تغیر نکرد .

دوستان کسی زرین پال یا پی لاین داره؟
الان بنده با درگاه های مستقیم هم چک میکنم و خبر میدم

نقل قول:

---

نوشته اصلی توسط Optimus

با سلام

یکی از مشتریان ما ادعا می کنه با استفاده از مرورگر کروم و گزینه inspect element در صفحه viewinvoice.php می تونه فاکتور را به هر قیمتی که می خواد تغییر بده و پرداخت کنه بدون اینکه سیستم ایراد بگیره یا اینکه ماژول بانک ایراد بگیره

سوالم از دوستان و همکاران اینه که این مورد آیا صحت داره؟

من امتحان کردم خودم و در یک مورد شد و برای بارهای بعد هر کاری کردم نشد

---

سلام
این دست باگ فکر نمیکنم تا الان تونسته باشه در سیستم whmcs بمونه. 99% از طرف ماژول باید باشه.
کدام درگاه و ماژول نوشته شده به دست کدام شرکت هست؟ (بهتره در خصوصی ارسال کنید)

نقل قول:

---

نوشته اصلی توسط Abolijoon

درود
با پارس پال چک شد
تغیر انجام شد موقع واریز مبلغ تغیر نکرد .

---

لطفا یک ایمیل و رمز برای بنده ارسال کنید از سایت خودتان
یک جای خاص رو باید تغییر داد و نه قیمت درج شده در فاکتور

اگه امکانش هست جای مخصوص رو پ.خ کنید چک کنم فکر نمیکنم بازم بشه !

برخی از درگاه ها در کال بک مشکل رو متوقف میکنند

نقل قول:

---

نوشته اصلی توسط Optimus

با سلام

یکی از مشتریان ما ادعا می کنه با استفاده از مرورگر کروم و گزینه inspect element در صفحه viewinvoice.php می تونه فاکتور را به هر قیمتی که می خواد تغییر بده و پرداخت کنه بدون اینکه سیستم ایراد بگیره یا اینکه ماژول بانک ایراد بگیره

سوالم از دوستان و همکاران اینه که این مورد آیا صحت داره؟

من امتحان کردم خودم و در یک مورد شد و برای بارهای بعد هر کاری کردم نشد

---

این مورد به درگاه ربط دارد نه به whmcs
موضوع هم سالیان سال هست که وجود دارد.
از ماژول معتبر استفاده کنید.

یکی از دوستان در مورد callback گفتن

این مورد باید قبل از ورود به درگاه حل بشه

در صورتی که پرداخت بشه و تو حساب بره ، دیگه callback اهمیتی نداره و ارور هم بده مشتری می تونه ادعا کنه من پرداختم درست بوده و سیستم شما مشکل داشته

اصلا نباید چنین تاپیکی ایجاد می شد

نقل قول:

---

نوشته اصلی توسط jahromweb

درگاه های پارسیان و پاسارگاد نوشته شده توسط فراسو هم به لیست اضافه شد

---

با آخرین نسخه تست کردید؟

- - - Updated - - -

نقل قول:

---

نوشته اصلی توسط hostorder

اصلا نباید چنین تاپیکی ایجاد می شد

---

چرا بهتره که اطلاع رسانی بشه و مشکل برطرف شه ... فوقش یه چند روزی پرداخت ها تک تک چک میشن.

نقل قول:

---

نوشته اصلی توسط Abolijoon

اگه امکانش هست جای مخصوص رو پ.خ کنید چک کنم فکر نمیکنم بازم بشه !

---

پارس پال چک شد
فاکتور 4000 تومنی به 400 تومنی تبدیل شد:

مبلغ پرداختی :	404 تومان
توضیحات :
-

- - - Updated - - -

نقل قول:

---

نوشته اصلی توسط kool

با آخرین نسخه تست کردید؟

- - - Updated - - -



چرا بهتره که اطلاع رسانی بشه و مشکل برطرف شه ... فوقش یه چند روزی پرداخت ها تک تک چک میشن.

---

با خود سایت فراسو که نویسنده این هست چک شد!
درضمن اخرین نسخه whmcs هم دارن چون خودشون نماینده whmcs هستن

نقل قول:

---

نوشته اصلی توسط m-mehdipoor

این مورد به درگاه ربط دارد نه به whmcs

---

100% از آپدیت نبودن ماژول ها یا عدم کدنویسی مناسب ماژول هست ... اگه از خود whmcs بود که خیلی پیشترر صدای PayPal و... در میومد !

بله تایید می شود
در ماژول بانک ملت نول شده و رایگان که در اینترنت هست این باگ وجود دارد .

اره مشکل از ماژول هاست
همه شون دارن با html کار میکنن درصورتی که باید از php استفاده بشه و قیمت مستقیم از دیتابیس استخراج بشه ونه ...
من پی پال رو هم چک میکنم

- - - Updated - - -

نقل قول:

---

نوشته اصلی توسط ServerDL.com

بله تایید می شود
در ماژول بانک ملت نول شده و رایگان که در اینترنت هست این باگ وجود دارد .

---

خیر کاری به نال شده نیست
ماژول فراسو اختصاصی نوشته شده و نال هم نیست

نقل قول:

---

نوشته اصلی توسط Optimus

یکی از دوستان در مورد callback گفتن

این مورد باید قبل از ورود به درگاه حل بشه

در صورتی که پرداخت بشه و تو حساب بره ، دیگه callback اهمیتی نداره و ارور هم بده مشتری می تونه ادعا کنه من پرداختم درست بوده و سیستم شما مشکل داشته

---

هم در هنگام request (یا call) و هم در هنگام verify باید قیمت چک و تایید بشه ...

اقایان مال این قسمته و بنده دو ماهه میدونم اما سکوت کردم

نقل قول:

---

ویرایش شد با تشکر

---

- - - Updated - - -

تست هم کردم و درست بوده

- - - Updated - - -

و در بیشترین درگاها موجود هست

اقا پست رو پاک کن!
اقای عزیزی فعلا روش دقیق رو نگذار

- - - Updated - - -

نقل قول:

---

نوشته اصلی توسط ServerDL.com

بله تایید می شوددر ماژول بانک ملت نول شده و رایگان که در اینترنت هست این باگ وجود دارد .

---

اقای افشار سایت شما هم چک شدباگ در سایت شما هم موجوده

نقل قول:

---

نوشته اصلی توسط jahromweb

اره مشکل از ماژول هاست
همه شون دارن با html کار میکنن درصورتی که باید از php استفاده بشه و قیمت مستقیم از دیتابیس استخراج بشه ونه ...
من پی پال رو هم چک میکنم

- - - Updated - - -


خیر کاری به نال شده نیست
ماژول فراسو اختصاصی نوشته شده و نال هم نیست

---

باید amount از دیتابیس در input ادد بشه و در callback نیز مبلغ رسیده از بانک توسط amount از دیتابیس چک بشه و با هم همخوانی داشته باشن، اگر یکی بود که ok بده و فاکتور پرداخت بشه و اگر یکی نبود ارور بده، با اینکار فاکتور پرداخت نمیشه و شخص مجبوره تیکت بزنه و پیگیری کنه، و شما هم منتظر میمونید تا 24 ساعت بعد مورد رو با حساب بانکیتون چک می کنید.

- - - Updated - - -

نقل قول:

---

نوشته اصلی توسط jahromweb

اقا پست رو پاک کن!
اقای عزیزی فعلا روش دقیق رو نگذار

- - - Updated - - -

اقای افشار سایت شما هم چک شدباگ در سایت شما هم موجوده

---

در ظاهر شاید موجود باشه، ولی شما پرداخت کنید و بعد در callback هست که خفت میشه! :d

دوستان همین یه باگ نیست خیالتون راحت من 3 تای دیگه دارم :)
رو 90 هاستینگ ها هست
حالا بگید کدام درگاه پرداخت این مشکلو نداره

نقل قول:

---

نوشته اصلی توسط hasanazizi

دوستان همین یه باگ نیست خیالتون راحت من 3 تای دیگه دارم :)
رو 90 هاستینگ ها هست
حالا بگید کدام درگاه پرداخت این مشکلو نداره

---

دوستانم هر کس چیزی بلده اینجا بگه با مدرک و دلیل
هنر نیست که چیزی بلد باشی و فقط سوءاستفاده کنی

نقل قول:

---

نوشته اصلی توسط hasanazizi

دوستان همین یه باگ نیست خیالتون راحت من 3 تای دیگه دارم :)
رو 90 هاستینگ ها هست
حالا بگید کدام درگاه پرداخت این مشکلو نداره

---

اون سه تاتون رو لطفا روی سایت ما چک کنید و نتیجه رو پیغام خصوصی نمایید!

پلاگین بانک ملی و زرین پال همچین مشکلی ندارند

فقط پلاگین بانک ملت این مشکل رو داره !

این 3 تا مربوط میشن به خود whmcs
یکیشون ورود بدون داشتن حسابه
یکیشون سفارش و حتی پرداخت و تحویل سفارشه
یکیشونم هر 30 ثانیه یک بار بدون اینکه ای پی یا چیزی یا اسمی بیفته تیکت میدی

:) چند موضوع هست که بهتر دونستم يک شفاف سازی مختصر روی اون داشته باشم.

1. نکنه اول: باگ مربوط به whmcs نيست و مربوط به ماژول درگاه پرداخت و خود درگاه پرداختی هست که استفاده ميکنيد.

2. خيلی از عزيزان در مورد callback گفته بودن که حرفشون صحيح هست اگر ماژول درگاه پرداختی در پايان پرداخت رقم تراکنش رو با رقم پرداختی تطبيق بده ميتونه صحت دستکاری نشدن و صحيح بودن رقم پرداختی رو چک کنه. اين موضوع در اکثر درگاه های پرداختی که باز شدن و پرداخت اونها توسط وبسرويس و SOAP انجام ميشه تطبيق داده ميشه. برخی درگاه های پرداخت باز شدن سشن رو به کمک POST انجام ميدن که ميشه رقم پرداختی رو تا صفحه پرداخت تغيير داد. اگر سمپل کدی که روی سايتشون باشه صحيح باشه بعد از پرداخت مورد شناسائی ميشه و تطبيق داده نميشه. اگر سمپل کد اشتباه باشه (که بعضا برای بعضی موارد اشتباه هست) به سادگی ميشه تراکنش رو دستکاری کرد.

3. علاوه بر اين مشکل، مشکلات متفاوت ديگه ای هم وجود داره که باهاش ميشه خيلی کارا کرد. مثلا يکی از PSP های بنام سمپل کدی که روی سايتش داره اشتباه هست و با اون سمپل کد ميشه يک پرداخت X تومانی رو 1000 بار تاييد کرد. يعنی من يک هاست 10000 تومانی از شما ميخرم و پرداخت ميکنم و بعد 10 بار همون هاست رو مجدد ميخرم و پرداخت نميکنم و تاييد ميکنم. اين مشکل رو ISP های بنام داشتند و باعث شده ضرر های شديدی متحمل بشن.

4. استفاده از ماژول پرداخت و درگاه پرداخت مطمئن برای جلوگيری ازين مشکلات مناسب هست. درگاه پرداختی که به شما گزارش تراکنش ها رو نميده و شما هيچ روشی برای تطبيق پرداخت های انجام شده خودتون با پرداخت هایی که شده رو نداريد یاعث بروز اين مشکل ميشه. سعی کنيد يا حسابدار استخدام کنيد يا درگاه پرداختی رو استفاده کنيد که به شما گزارش های کامل و ريز ميده و کار يک حسابدار رو برای شما انجام ميده. يکی از اصلی ترين دلايلی که باعث ميشه خيلی از شرکت های معتبر (شرکت هایی که خودشون درگاه پرداخت های مختلف دارن) از درگاه های واسط (مستقيم و غير مستقيم) استفاده کنن همين مشکلاتی هست که وجود داره.

5. در مورد مشکلی که ميفرمائيد، تا جائی که فرموديد صحيح هست. شما رقم تراکنش رو تغيير داديد و به صفحه پرداخت هدايت شديد (با يک رقم اشتباه) ولی اون پرداخت اشتباه رو تکميل کنيد و به سايت فروشنده برگرديد خواهيد ديد که در 90 درصد موارد تراکنش تاييد نميشه. مگر اينکه ماژول مورد استفاده، يا درگاه پرداخت مورد استفاده شما مشکلاتی داشته باشه که در مورد 2 و 3 توضيح داده شد.

6. نه ميشه گفت مشکل وجود نداره کلا. نه ميشه گفت برای همه صادق هست. فقط افراد فنی حرفه ای هستند که ميتونن با مشاهده سمپل کد يا با 2 3 بار تست کردن روی سايت ها اين مشکل رو شناسائی کنن. سعی کنيد از درگاه های پرداخت مطمئن و ماژول های پرداخت مطمئن و تاييد شده استفاده کنيد تا شاهد اين مشکلات نباشيد ان شاء الله. در کل زياد نترسيد، زياد هم بی خيال نباشيد ;)

- - - Updated - - -

نقل قول:

---

پلاگین بانک ملی و زرین پال همچین مشکلی ندارند

فقط پلاگین بانک ملت این مشکل رو داره !

---

ازينکه زمان گذاشتيد و تست کرديد ممنونيم ;)

دوست عزیز یعنی من سو استفاده کردم
اگه بخواستم سئو استفاده کنم از 2 ماه پیش این کارو میکردم پس الکی تهمت نزن
من به جز اینا دیگه چیز بیشتری ارائه نمیدم
فقط به مراجع قانونی

نقل قول:

---

در ظاهر شاید موجود باشه، ولی شما پرداخت کنید و بعد در callback هست که خفت میشه!

---

مطابق مورد 5 که بالا گفتم حرف شما در 90 درصد مواقع صحيح هست و در برگشت تراکنش تاييد نميشه و خطا ميده.

نقل قول:

---

نوشته اصلی توسط AvalinHost

اون سه تاتون رو لطفا روی سایت ما چک کنید و نتیجه رو پیغام خصوصی نمایید!

---

با سلام مشکلی دیده نشد
موفق باشید با تشکر

اینجا یک سوال میمونه یعنی اگر ما مثلا تراکنشی بالای یک ملیون داشته باشیم توی خود سایت با استفاده از این روش برای پرداختی های جاهای دیگ بکنیمش 100 تومن ینی توی سایت 100 تومن نشون میده یا یک ملیون تومن؟ منظورم تو قسمت whmcs مدیریت کله..که میخواد ببینه طرف پرداخت کرده یا نکرده

آپدیت شد:
یکی از دوستان لطف کردن با پی لاین ما چند ثانیه قبل تست کردن :) مشکل نداره ظاهرا
100 واریز شده به حساب ولی فاکتور 2000 تومانی پرداخت نشده مونده

- - - Updated - - -

نقل قول:

---

نوشته اصلی توسط iranwhsrver

اینجا یک سوال میمونه یعنی اگر ما مثلا تراکنشی بالای یک ملیون داشته باشیم توی خود سایت با استفاده از این روش برای پرداختی های جاهای دیگ بکنیمش 100 تومن ینی توی سایت 100 تومن نشون میده یا یک ملیون تومن؟ منظورم تو قسمت whmcs مدیریت کله..که میخواد ببینه طرف پرداخت کرده یا نکرده

---

100 به حساب بانکی واریز میشه و در whmcs مبلغ 1 میلیون رو میزنه!

نقل قول:

---

نوشته اصلی توسط hasanazizi

با سلام مشکلی دیده نشد
موفق باشید با تشکر

---

لطفا پیکره سایت بنده رو هم بررسی کنید

نقل قول:

---

نوشته اصلی توسط jahromweb

اقا پست رو پاک کن!
اقای عزیزی فعلا روش دقیق رو نگذار

- - - Updated - - -

اقای افشار سایت شما هم چک شدباگ در سایت شما هم موجوده

---

عزیز مال ما رو تست کنید پرداخت هم بزنید ببینیم موقع کال بک مشکل می خورد یا خیر !
( بنده هزینه رو متقبل می شوم )

نقل قول:

---

نوشته اصلی توسط samansystems

مطابق مورد 5 که بالا گفتم حرف شما در 90 درصد مواقع صحيح هست و در برگشت تراکنش تاييد نميشه و خطا ميده.

---

جسارتا این مورد پاک شدن صورت مسئله هست

کدنویس ها و کسانی که ماژول می دن و همچنین بانک ها باید این مورد را قبل از ورود به سایت و پرداخت حل کنند

ممنون

بنده به همین دلیل پلاگین بانک ملتم رو غیر فعال کردم و دارم از سیبا پال استفاده می کنم

هر پرداختی که بشه همونجا سیبا پال برات ایمیل و اس ام اس میکنه و 100 % تو متوجه میشی که پرداخت ناصحیح انجام شده

درگاه هم که مستقیم هست به نام سایت خودمون

تسویه حساب هم از تمام درگاه های خود بانک ها سریعتره دیگه حداقل . همون لحظه که واریز میشه به حسابت میتونی درخواست بدی 10 دقیقه بعد پول رو توی حسابت تحویل بگیری


اینها تبلیغ سیبا پال نبود فقط میخواستم ضعف و ***ی بیش از حد بانک ها رو در این باره بگم . هزینه هایی که 24 ساعت در حساب خودشون نگه میدارند و پرداخت نمی کنند به حساب ما بسیار برای اونها سود آوره . در ضمن فقط شغل ما نیست . هزاران شغل هست که از کارت خوان استفاده میشه