باگ امنیتی در فاکتورهای سیستم whmcs

[hasanazizi]

این 3 تا مربوط میشن به خود whmcs
یکیشون ورود بدون داشتن حسابه
یکیشون سفارش و حتی پرداخت و تحویل سفارشه
یکیشونم هر 30 ثانیه یک بار بدون اینکه ای پی یا چیزی یا اسمی بیفته تیکت میدی

[samansystems]

چند موضوع هست که بهتر دونستم يک شفاف سازی مختصر روی اون داشته باشم.

1. نکنه اول: باگ مربوط به whmcs نيست و مربوط به ماژول درگاه پرداخت و خود درگاه پرداختی هست که استفاده ميکنيد.

2. خيلی از عزيزان در مورد callback گفته بودن که حرفشون صحيح هست اگر ماژول درگاه پرداختی در پايان پرداخت رقم تراکنش رو با رقم پرداختی تطبيق بده ميتونه صحت دستکاری نشدن و صحيح بودن رقم پرداختی رو چک کنه. اين موضوع در اکثر درگاه های پرداختی که باز شدن و پرداخت اونها توسط وبسرويس و SOAP انجام ميشه تطبيق داده ميشه. برخی درگاه های پرداخت باز شدن سشن رو به کمک POST انجام ميدن که ميشه رقم پرداختی رو تا صفحه پرداخت تغيير داد. اگر سمپل کدی که روی سايتشون باشه صحيح باشه بعد از پرداخت مورد شناسائی ميشه و تطبيق داده نميشه. اگر سمپل کد اشتباه باشه (که بعضا برای بعضی موارد اشتباه هست) به سادگی ميشه تراکنش رو دستکاری کرد.

3. علاوه بر اين مشکل، مشکلات متفاوت ديگه ای هم وجود داره که باهاش ميشه خيلی کارا کرد. مثلا يکی از PSP های بنام سمپل کدی که روی سايتش داره اشتباه هست و با اون سمپل کد ميشه يک پرداخت X تومانی رو 1000 بار تاييد کرد. يعنی من يک هاست 10000 تومانی از شما ميخرم و پرداخت ميکنم و بعد 10 بار همون هاست رو مجدد ميخرم و پرداخت نميکنم و تاييد ميکنم. اين مشکل رو ISP های بنام داشتند و باعث شده ضرر های شديدی متحمل بشن.

4. استفاده از ماژول پرداخت و درگاه پرداخت مطمئن برای جلوگيری ازين مشکلات مناسب هست. درگاه پرداختی که به شما گزارش تراکنش ها رو نميده و شما هيچ روشی برای تطبيق پرداخت های انجام شده خودتون با پرداخت هایی که شده رو نداريد یاعث بروز اين مشکل ميشه. سعی کنيد يا حسابدار استخدام کنيد يا درگاه پرداختی رو استفاده کنيد که به شما گزارش های کامل و ريز ميده و کار يک حسابدار رو برای شما انجام ميده. يکی از اصلی ترين دلايلی که باعث ميشه خيلی از شرکت های معتبر (شرکت هایی که خودشون درگاه پرداخت های مختلف دارن) از درگاه های واسط (مستقيم و غير مستقيم) استفاده کنن همين مشکلاتی هست که وجود داره.

5. در مورد مشکلی که ميفرمائيد، تا جائی که فرموديد صحيح هست. شما رقم تراکنش رو تغيير داديد و به صفحه پرداخت هدايت شديد (با يک رقم اشتباه) ولی اون پرداخت اشتباه رو تکميل کنيد و به سايت فروشنده برگرديد خواهيد ديد که در 90 درصد موارد تراکنش تاييد نميشه. مگر اينکه ماژول مورد استفاده، يا درگاه پرداخت مورد استفاده شما مشکلاتی داشته باشه که در مورد 2 و 3 توضيح داده شد.

6. نه ميشه گفت مشکل وجود نداره کلا. نه ميشه گفت برای همه صادق هست. فقط افراد فنی حرفه ای هستند که ميتونن با مشاهده سمپل کد يا با 2 3 بار تست کردن روی سايت ها اين مشکل رو شناسائی کنن. سعی کنيد از درگاه های پرداخت مطمئن و ماژول های پرداخت مطمئن و تاييد شده استفاده کنيد تا شاهد اين مشکلات نباشيد ان شاء الله. در کل زياد نترسيد، زياد هم بی خيال نباشيد

- - - Updated - - -

پلاگین بانک ملی و زرین پال همچین مشکلی ندارند

فقط پلاگین بانک ملت این مشکل رو داره !

ازينکه زمان گذاشتيد و تست کرديد ممنونيم

[hasanazizi]

دوست عزیز یعنی من سو استفاده کردم
اگه بخواستم سئو استفاده کنم از 2 ماه پیش این کارو میکردم پس الکی تهمت نزن
من به جز اینا دیگه چیز بیشتری ارائه نمیدم
فقط به مراجع قانونی

[samansystems]

در ظاهر شاید موجود باشه، ولی شما پرداخت کنید و بعد در callback هست که خفت میشه!

مطابق مورد 5 که بالا گفتم حرف شما در 90 درصد مواقع صحيح هست و در برگشت تراکنش تاييد نميشه و خطا ميده.

[hasanazizi]

اون سه تاتون رو لطفا روی سایت ما چک کنید و نتیجه رو پیغام خصوصی نمایید!

با سلام مشکلی دیده نشد
موفق باشید با تشکر

[iranwhsrver]

اینجا یک سوال میمونه یعنی اگر ما مثلا تراکنشی بالای یک ملیون داشته باشیم توی خود سایت با استفاده از این روش برای پرداختی های جاهای دیگ بکنیمش 100 تومن ینی توی سایت 100 تومن نشون میده یا یک ملیون تومن؟ منظورم تو قسمت whmcs مدیریت کله..که میخواد ببینه طرف پرداخت کرده یا نکرده

[kool]

آپدیت شد:
یکی از دوستان لطف کردن با پی لاین ما چند ثانیه قبل تست کردن مشکل نداره ظاهرا
100 واریز شده به حساب ولی فاکتور 2000 تومانی پرداخت نشده مونده

- - - Updated - - -

اینجا یک سوال میمونه یعنی اگر ما مثلا تراکنشی بالای یک ملیون داشته باشیم توی خود سایت با استفاده از این روش برای پرداختی های جاهای دیگ بکنیمش 100 تومن ینی توی سایت 100 تومن نشون میده یا یک ملیون تومن؟ منظورم تو قسمت whmcs مدیریت کله..که میخواد ببینه طرف پرداخت کرده یا نکرده

100 به حساب بانکی واریز میشه و در whmcs مبلغ 1 میلیون رو میزنه!

[ServerDL.com]

با سلام مشکلی دیده نشد
موفق باشید با تشکر

لطفا پیکره سایت بنده رو هم بررسی کنید

اقا پست رو پاک کن!
اقای عزیزی فعلا روش دقیق رو نگذار

- - - Updated - - -

اقای افشار سایت شما هم چک شدباگ در سایت شما هم موجوده

عزیز مال ما رو تست کنید پرداخت هم بزنید ببینیم موقع کال بک مشکل می خورد یا خیر !
( بنده هزینه رو متقبل می شوم )

[Optimus]

مطابق مورد 5 که بالا گفتم حرف شما در 90 درصد مواقع صحيح هست و در برگشت تراکنش تاييد نميشه و خطا ميده.

جسارتا این مورد پاک شدن صورت مسئله هست

کدنویس ها و کسانی که ماژول می دن و همچنین بانک ها باید این مورد را قبل از ورود به سایت و پرداخت حل کنند

ممنون

[98M!zban]

بنده به همین دلیل پلاگین بانک ملتم رو غیر فعال کردم و دارم از سیبا پال استفاده می کنم

هر پرداختی که بشه همونجا سیبا پال برات ایمیل و اس ام اس میکنه و 100 % تو متوجه میشی که پرداخت ناصحیح انجام شده

درگاه هم که مستقیم هست به نام سایت خودمون

تسویه حساب هم از تمام درگاه های خود بانک ها سریعتره دیگه حداقل . همون لحظه که واریز میشه به حسابت میتونی درخواست بدی 10 دقیقه بعد پول رو توی حسابت تحویل بگیری


اینها تبلیغ سیبا پال نبود فقط میخواستم ضعف و ***ی بیش از حد بانک ها رو در این باره بگم . هزینه هایی که 24 ساعت در حساب خودشون نگه میدارند و پرداخت نمی کنند به حساب ما بسیار برای اونها سود آوره . در ضمن فقط شغل ما نیست . هزاران شغل هست که از کارت خوان استفاده میشه