هشدار: امنیت ماژول های درگاه پرداخت
من به عنوان یک برنامه نویس و کسی که قبلا به فعالیت های امنیتی و Hacking و Cracking مشغول بوده و دید کاملی به مسائل هر دو دارد، در برنامه نویسی بسیار محتاط هستم و واقعا در مورد تمام جزئیات زیاد فکر می کنم...
وقتی بحث عجله باشد حتی من هم با تمام وسواسی که دارم یکسری جاها رو بیخیالی طی می کنم و یا فراموش...
مدتی پیش در حین آپدیت اسکریپت پرداخت بانکی پورتال شرکت، متوجه شدم یکسری حفره های امنیتی وجود داره که اگر شخصی یک هکر درست حسابی و مسلط به مباحث باشه به راحتی می تونه استفاده های مختلفی از این موارد بکنه و یا حداقل اش این هست که به عنوان یک Bug موجود در سیستم امکان عملکرد خارج از حیطه تعریف شده فراهم هستش. البته با احتمال کمی که در مورد وجود یک هکر آگاه وجود داشت، تا فرصت کافی در آینده، این مسئله رو ندیده گرفتم. این نکته هم بگم که اسکریپت های دیگری که در سطح وب وجود دارند، چه پولی و چه نال و یا Open Source و با توجه به اینکه اکثر آن ها رو قبلا بررسی کرده و دیده ام، می بایست بگم که وضعیت اکثر آن ها به مراتب خراب تر بوده است.
این مواردی که عرض کردم، مختص بانک و یا سیستم خاصی نیست، چون همه این ها تقریبا به یک صورت عمل می کنند و روند خاص خود را دارند، می توان گفت که تقریبا اغلب و یا اکثر این سیستم ها دچار مشکلات یاد شده هستند.
ضمنا رفع برخی از این مشکلات بسته به توابع ارایه شده و نوع کار Web Service در هر بانک متفاوت با بانک دیگر است، و یا عمل اصلاح بسیار سخت می شود و یا در موارد کمی ناممکن می گردد. البته این مورد به امکانات سیستم میزبان (اسکریپت وبسایت) نیز بستگی دارد.
امروز فرصت کافی بود تا برای اولین بار بنشینم و ماژول سیستم جدید شرکت را به صورت اصولی و با پیشبینی همه شرایط کد نویسی کنم. در این بین بیش از پیش به باگ ها و حفره های موجود پی بردم و اینکه اگر برخی از آن ها برطرف نشده و شخصی آگاه قصد هک سیستم را بکند، چقدر در مسائل مالی شرکت ها مشکل بوجود می آید، آن هم بدون اطلاع ایشان، مخصوصا اگر حساب کتاب های خود را بصورت دقیق و دوره ای بررسی ننمایند.
خلاصه مطلب خواستم به شما دوستان عزیز این مورد را اطلاع داده و هشداری داده باشم تا بصورت دقیق و با ذهنی باز در مورد کد های اسکریپت های درگاه پرداخت خود بازنگری داشته باشید و مشکلات موجود را کشف و رفع نمایید تا در آینده خدای ناکرده دچار مشکل نشوید... این مشکلات از کلاهبرداری کاربران تا اشکالات مالی و بهم ریختن حساب کتاب های اتوماسیون شما می تواند گسترده باشد.
موفق و پیروز باشید
پاسخ با نقل قول