هشدار: امنیت ماژول های درگاه پرداخت

[rezaonline.net]

یکی از مواردی که بنده به دوستان پیشنهاد میکنم ، چنانچه از ماژول استفاده میکنید حتما سورس باز باشد و کد نشده باشد .
یک مورد دیگه استفاده ، ماژول بانکهای پاسارگاد و گردشگری و سیستم های مشابه این دو بانک که اعتبار سنجی با استفاده از کلید خصوصی انجام میشود ، دقت کنید که کلید خصوصی از طریق url قابل دسترس نباشد .

وبسرویس بانک ها بنده شدیدا طرفدا وبسرویس بانک ملی (سداد هستم ) .
در تمامی بانکها عملیات در دو مرحله باید انجام شود ، یکیش مرحله شروع پرداخت که یک request به بانک هست .
بعضی از بانک ها مثل پارسیان و ملی در این مرحله باید وبسرویس بانک رو درخواست کرد و بعد ارجاع داد به بانک که این خودش خوبه و یک مرحله امنیتی هست چون ارسال اطلاعات با استفاده از وبسرویس از سمت سرور انجام میشود و کاربر اطلاعات اصلی را متوجه نمیشود .
اما بعضی از بانکها مثل تجارت ، سامان ، اقتصاد نوین و ... باید ارسال اطلاعات بصورت متد post با فرم باشد ، که به راحتی میشود مبلغ ارسالی را دستکاری کرد
برنامه نویس در برگشت باید حتماً حتماً مبلغ ارسالی به درگاه رو با توجه به عملیات verify که انجام میده مقایسه کنه و در صورت مغایرت اقدامات لازم رو انجام بده .

عملیات verify یا بررسی صحت تراکنش در همه بانکها وجود داره و الزامی باید انجام بشه .
در بعضی بانکها مثل ملی اگر عملیات verify بعد از 20 دقیقه از سمت فروشگاه انجام نشه مبلغ پرداختی به حساب پرداخت کننده برگشت داده میشه اما بعضی از بانکها مثل پاسارگاد متاسفانه چنین نیست .
و این مشکلی ایجاد میکنه
به طور مثال اگر در خرید شارژ وقتی به سایت فروشنده برمیگردد سایت داون باشه باید برید شناسه پرداخت رو بفرستید به فروشنده و اون استعلام کنه و خلاصه دردسرهایی داره .

این توصیه ای که جناب ≡ ALEX ≡ کردند رو جدی بگیرید .
موفق باشید