پاسخ : باگ امنیتی در فاکتورهای سیستم whmcs
چند موضوع هست که بهتر دونستم يک شفاف سازی مختصر روی اون داشته باشم.
1. نکنه اول: باگ مربوط به whmcs نيست و مربوط به ماژول درگاه پرداخت و خود درگاه پرداختی هست که استفاده ميکنيد.
2. خيلی از عزيزان در مورد callback گفته بودن که حرفشون صحيح هست اگر ماژول درگاه پرداختی در پايان پرداخت رقم تراکنش رو با رقم پرداختی تطبيق بده ميتونه صحت دستکاری نشدن و صحيح بودن رقم پرداختی رو چک کنه. اين موضوع در اکثر درگاه های پرداختی که باز شدن و پرداخت اونها توسط وبسرويس و SOAP انجام ميشه تطبيق داده ميشه. برخی درگاه های پرداخت باز شدن سشن رو به کمک POST انجام ميدن که ميشه رقم پرداختی رو تا صفحه پرداخت تغيير داد. اگر سمپل کدی که روی سايتشون باشه صحيح باشه بعد از پرداخت مورد شناسائی ميشه و تطبيق داده نميشه. اگر سمپل کد اشتباه باشه (که بعضا برای بعضی موارد اشتباه هست) به سادگی ميشه تراکنش رو دستکاری کرد.
3. علاوه بر اين مشکل، مشکلات متفاوت ديگه ای هم وجود داره که باهاش ميشه خيلی کارا کرد. مثلا يکی از PSP های بنام سمپل کدی که روی سايتش داره اشتباه هست و با اون سمپل کد ميشه يک پرداخت X تومانی رو 1000 بار تاييد کرد. يعنی من يک هاست 10000 تومانی از شما ميخرم و پرداخت ميکنم و بعد 10 بار همون هاست رو مجدد ميخرم و پرداخت نميکنم و تاييد ميکنم. اين مشکل رو ISP های بنام داشتند و باعث شده ضرر های شديدی متحمل بشن.
4. استفاده از ماژول پرداخت و درگاه پرداخت مطمئن برای جلوگيری ازين مشکلات مناسب هست. درگاه پرداختی که به شما گزارش تراکنش ها رو نميده و شما هيچ روشی برای تطبيق پرداخت های انجام شده خودتون با پرداخت هایی که شده رو نداريد یاعث بروز اين مشکل ميشه. سعی کنيد يا حسابدار استخدام کنيد يا درگاه پرداختی رو استفاده کنيد که به شما گزارش های کامل و ريز ميده و کار يک حسابدار رو برای شما انجام ميده. يکی از اصلی ترين دلايلی که باعث ميشه خيلی از شرکت های معتبر (شرکت هایی که خودشون درگاه پرداخت های مختلف دارن) از درگاه های واسط (مستقيم و غير مستقيم) استفاده کنن همين مشکلاتی هست که وجود داره.
5. در مورد مشکلی که ميفرمائيد، تا جائی که فرموديد صحيح هست. شما رقم تراکنش رو تغيير داديد و به صفحه پرداخت هدايت شديد (با يک رقم اشتباه) ولی اون پرداخت اشتباه رو تکميل کنيد و به سايت فروشنده برگرديد خواهيد ديد که در 90 درصد موارد تراکنش تاييد نميشه. مگر اينکه ماژول مورد استفاده، يا درگاه پرداخت مورد استفاده شما مشکلاتی داشته باشه که در مورد 2 و 3 توضيح داده شد.
6. نه ميشه گفت مشکل وجود نداره کلا. نه ميشه گفت برای همه صادق هست. فقط افراد فنی حرفه ای هستند که ميتونن با مشاهده سمپل کد يا با 2 3 بار تست کردن روی سايت ها اين مشکل رو شناسائی کنن. سعی کنيد از درگاه های پرداخت مطمئن و ماژول های پرداخت مطمئن و تاييد شده استفاده کنيد تا شاهد اين مشکلات نباشيد ان شاء الله. در کل زياد نترسيد، زياد هم بی خيال نباشيد
- - - Updated - - -
ازينکه زمان گذاشتيد و تست کرديد ممنونيمپلاگین بانک ملی و زرین پال همچین مشکلی ندارند
فقط پلاگین بانک ملت این مشکل رو داره !
