ilch Forum » Ilch Clan 1.1 » Module und Modifikationen » Paypal Shop 2.0

Geschlossen
  1. #1
    User Pic
    H2D2 Mitglied
    Registriert seit
    15.11.2011
    Beitrge
    15
    Beitragswertungen
    0 Beitragspunkte
    Hallo,

    ich weis das das Thema schon einmal diskutiert wurde!

    Ich habe eine Frage?
    Um welche Sicherheits technischen Mängel handelt es sich hier beim Paypal Shop 2.0.
    Kann man das Dingen verwenden oder ist davon abzuraten?!
    Es gibt ja einige die es sich bereits gekauft haben.



    ZitatZitat
    Leider hat man feststellen müssen, dass dieses Modul gravierende Fehler.

    Da wir vom Ilch-Team immer darauf achten, dass auf ilch.de nur sichere Module angeboten werden, werde ich dieses Thema vorübergehend als normales Thema behandeln lassen und den Downloadlink entfernen, bis vom Entwickler nachgebessert wurde.

    Der Entwickler selbst darf gerne so frei sein und mich bezüglich der Fehler anschreiben. Gerne nenne ich diese. Es ist aber bitte zu bedenken, dass ich nicht bei der Behebung der Fehler behilflich sein werde.


    Beste Grüße
    Florian

    NEU Screendesign Blog - www.sd-blog.de
    Wieder da! www.florian-koerner.eu/
    Apple Mac: Wo nichts drin ist, kann auch nichts kaputt gehen.



    Für eine kurze Antwort währe ich euch dankbar...

    betroffene Homepage: www.mysek.de/?pps&page=detail&itemid=9
    0 Mitglieder finden den Beitrag gut.
  2. #2
    User Pic
    KoernerWS gelschter User
    Das Problem ist, dass das Modul nicht prüft, ob tatsächlich der Betrag gezahlt wurde, der zu zahlen war. Die Daten lassen sich manipulieren und somit ist es möglich nur einen minimalen Teilbetrag für den Download zu zahlen, der angeboten wird.
    1 Mitglieder finden den Beitrag gut.
  3. #3
    User Pic
    H2D2 Mitglied
    Registriert seit
    15.11.2011
    Beitrge
    15
    Beitragswertungen
    0 Beitragspunkte
    Ok Danke!!!!:D
    0 Mitglieder finden den Beitrag gut.
  4. #4
    User Pic
    soulreafer Mitglied
    Registriert seit
    26.01.2010
    Beitrge
    42
    Beitragswertungen
    0 Beitragspunkte
    und was macht dann bitte

    // check payment_status
    // check txn_id
    // check receiver_email
    // check payment_amount/payment_currency
    $firstname = $keyarray['first_name'];
    $lastname = $keyarray['last_name'];
    $itemname = $keyarray['item_name'];
    $amount = $keyarray['payment_gross'];

    mir ist so als ob der gezahlte betrag von paypal mitgeliefert wird und der dl link nur generiert wird wenn es übereinstimmt.

    btw wie kann man den betrag in paypal ändern wenns als rechnungskauf mit festem betrag ist *roll eyes*?
    Kopf Zu!
    0 Mitglieder finden den Beitrag gut.
  5. #5
    User Pic
    Forcey Mitglied
    Registriert seit
    19.09.2010
    Beitrge
    411
    Beitragswertungen
    66 Beitragspunkte
    ZitatZitat
    Das Problem ist, dass das Modul nicht prüft, ob tatsächlich der Betrag gezahlt wurde, der zu zahlen war. Die Daten lassen sich manipulieren und somit ist es möglich nur einen minimalen Teilbetrag für den Download zu zahlen, der angeboten wird.


    Und wie darf man sich das vorstellen?

    Ich hab mir gestern die Paypal geschichte mal angeguckt, und soweit so gut, man sendet den Betrag an Paypal per submit (meinetwegen auch durch ein php script) und paypal leitet sobald sofortbezahlung abgeschlossen wieder zu meine seite.

    Mich interessiert nun, wie man das manipulieren kann, da ich momentan selbst so etwas bastel.
    0 Mitglieder finden den Beitrag gut.
  6. #6
    User Pic
    KoernerWS gelschter User
    Der zu zahlende Preis wird über das Formular mitgegeben. Dieses lässt sich leicht verfälschen. Zwei einfache Möglichkeiten wären die speicherung und änderung des Formulars auf dem Rechner oder das manipulieren mit Firebug.

    // check payment_status
    // check txn_id
    // check receiver_email
    // check payment_amount/payment_currency
    $firstname = $keyarray['first_name'];
    $lastname = $keyarray['last_name'];
    $itemname = $keyarray['item_name'];
    $amount = $keyarray['payment_gross'];

    Hier werden nur Variablen gesetzt, jedoch keine geprüft.
    1 Mitglieder finden den Beitrag gut.
  7. #7
    User Pic
    Ahrtas Moderator
    Registriert seit
    17.12.2007
    Beitrge
    2.368
    Beitragswertungen
    210 Beitragspunkte
    Naja if-anweisung $amount mit dem Preis aus der DB vergleichen und weiter gehts...
    0 Mitglieder finden den Beitrag gut.
  8. #8
    User Pic
    oink Mitglied
    Registriert seit
    23.09.2010
    Beitrge
    740
    Beitragswertungen
    227 Beitragspunkte
    preise vergleichen ... NEIN

    NUR artikel IDs und anzahl, aus denen ergeben sich cart und somit ein preis! andere informationen als artikel ID und anzahl sollten nicht zur berechnung benutzt werden.
    before creation there must be destruction
    1 Mitglieder finden den Beitrag gut.
  9. #9
    User Pic
    T3BAss Mitglied
    Registriert seit
    21.12.2011
    Beitrge
    133
    Beitragswertungen
    18 Beitragspunkte
    bezahle 1, ändere den preis den paypal nennt in 1000 und bekomme nen fernseher anstatt ner tafel schokolade :-)

    also mir gefällt die idee den preis nur zu vergleichen ^^
    0 Mitglieder finden den Beitrag gut.
  10. #10
    User Pic
    Ahrtas Moderator
    Registriert seit
    17.12.2007
    Beitrge
    2.368
    Beitragswertungen
    210 Beitragspunkte
    ZitatZitat geschrieben von oink

    preise vergleichen ... NEIN

    NUR artikel IDs und anzahl, aus denen ergeben sich cart und somit ein preis! andere informationen als artikel ID und anzahl sollten nicht zur berechnung benutzt werden.

    Ähm in dem Script gibt es aber kein Cart (Warenkorb) man kauft die Artikel direkt ohne Warenkorb-Funktion.

    Und damit du den Gesamtpreis durch ID * Anzahl ermitteln kannst brauchst du erst mal den Grundpreis aus der DB.

    Aber da das ja bei diesem Script wegfällt war es für die aktuelle Version des Script ein sinnloser Gedanke von dir. Yeslcheln

    Edit:
    einfachster Vergleich ob der bezahlte Betrag der zurückgegeben wird stimmt

    if ($amount == $DBprice ) {
      weitere gehts...
    } else {
      nix gibts!
    }



    Zuletzt modifiziert von Ahrtas am 15.01.2012 - 19:42:32
    0 Mitglieder finden den Beitrag gut.
  11. #11
    User Pic
    T3BAss Mitglied
    Registriert seit
    21.12.2011
    Beitrge
    133
    Beitragswertungen
    18 Beitragspunkte
    Und was ist wenn ich die Rückgabe verfälsche?^^
    Man sollte Werte wie Preise niemals vergleichen!

    Alles was zum Server gesendet wird mit Hilfe des Clienten / über den Client kannst du verfälschen und mit deiner Lösung wie ich oben schon geschrieben habe einfach ne Mücke kaufen und du bekommst nen Elefanten
    0 Mitglieder finden den Beitrag gut.
  12. #12
    User Pic
    Ahrtas Moderator
    Registriert seit
    17.12.2007
    Beitrge
    2.368
    Beitragswertungen
    210 Beitragspunkte
    wie willst du es dann überprüfen... irgentwie muss es ja zurückgegeben werden?

    Lösungsvorschläge ala Warenkorb oder Anzahl der Ware kann man ja vergessen da es hier nichts in dieser Art vorhanden ist :/

    Und wird die Bezahlung manipuliert, dann kann man noch über rechtliche Schritte an sein Geld kommen oder Anzeige einreichen via hinterlegte eMail-Adresse bei Paypal ich denke es werden mindestens zwei Punkte (seitens Paypal und dem Verkäufer) verstoßen mit den man rechtliche Schritte einleiten kann.


    Zuletzt modifiziert von Ahrtas am 15.01.2012 - 20:25:12
    0 Mitglieder finden den Beitrag gut.
  13. #13
    User Pic
    oink Mitglied
    Registriert seit
    23.09.2010
    Beitrge
    740
    Beitragswertungen
    227 Beitragspunkte
    wow, ja ist schon krass nen warenkorb in ne session zu packen. hartes ding.

    und wenn das modul nunmal keinen warenkorb hat ist dies dennoch kein grund so falsch mit daten herumzuspielen. dann ist das modul nicht gut durchdacht.

    quasi falsch konstruiert und nicht "es funktioniert nuneinmal so"
    before creation there must be destruction
    0 Mitglieder finden den Beitrag gut.
  14. #14
    User Pic
    Ahrtas Moderator
    Registriert seit
    17.12.2007
    Beitrge
    2.368
    Beitragswertungen
    210 Beitragspunkte
    ZitatZitat geschrieben von oink

    wow, ja ist schon krass nen warenkorb in ne session zu packen. hartes ding.

    und wenn das modul nunmal keinen warenkorb hat ist dies dennoch kein grund so falsch mit daten herumzuspielen. dann ist das modul nicht gut durchdacht.

    quasi falsch konstruiert und nicht "es funktioniert nuneinmal so"

    Ich sagte nur das, das Modul in der aktuellen Version kein Warenkorb besitzt, was aber nicht heist das dieses Modul perfekt ist oder richtig konstruiert wurde - habe ich nicht behauptet.

    Und wenn nunmal kein Warenkorb vorhanden ist dann funktioniert es nun einmal so!
    Was man selbst hinzuprogrammiert oder ändert ist eine andere Geschichte aber so wie es jetzt ist funktioniert es ohne Warenkorb ob du willst oder nicht - wenn es dir aber nicht passt, dann kannst du es ja umschreiben/erweitern.

    Wenn man ein Warenkorb dazu programmiert, muss man den automatischen Download auch komplett umprogrammieren, da im Moment das Modul nur den einen gekauften Artikel als Downloadlink versendet und den Download prüft.

    Und am Ende muss dennoch der bezahlte Betrag geprüft werden der von PayPal zurückgegeben wird.

    Denn du willst ja nicht das der Kunde drei Artikel im Warenkorb hat, dann über Paypal (eins zahlt) und wieder in dein Shop zurück geleitet wird und dein Shop prüft was der Kunde in seinem Korb hatte und diese Artikel ausgibt ohne zu prüfen ob auch der volle Betrag bezahlt wurde - nach deiner Artikel * Anzahl ohne Preis Theorie. Klar das man Anzahl*DBPreis ausrechnet aber wie willst du das Ergebnis mit PayPal prüfen wenn man den (manipulierbaren) Wert nicht mit in die Prüfung einbeziehen soll - vielleicht erraten?
    0 Mitglieder finden den Beitrag gut.
  15. #15
    User Pic
    oink Mitglied
    Registriert seit
    23.09.2010
    Beitrge
    740
    Beitragswertungen
    227 Beitragspunkte
    *lach*
    before creation there must be destruction
    0 Mitglieder finden den Beitrag gut.
Geschlossen

Zurck zu Module und Modifikationen

Optionen: Bei einer Antwort zu diesem Thema eine eMail erhalten