Andy's Blog » paypal 漏洞, 几种paypal付款漏洞, paypal漏洞 » 用paypal收钱千万注意几个漏洞,和应对策略!

用paypal收钱千万注意几个漏洞,和应对策略!

"在线支付"公认比银行汇款方式来的强的多,但是涉及到两套独立系统,所以相互衔接上存在一定的问题,存在出错的可能,千万不可掉以轻心。下面说一下OSC用PayPalCN支付为例说明一下问题!

本例 涉及两套系统

  1. osCommerce 的账单管理以及
  2. www.paypal.com/cn 支付接口.

问题两套系统中的订单记录不一致,分4种情况
--------------------------------
no osc记录 PayPal记录 内容一致性 应对
1   有      有      一致   发货
2   无      有           退款,重新购买
3   有      无           删除osc记录,警惕观察
4   有      有      不一致  恶意破坏,高度警惕 
-----------------------------

  • 什么情况下产生不同结果
    1. 一切正常没什么可说的。
    2. 产生的情况如下。
        在PayPal磨蹭了半天(比如注册),真实支付后,返回osc时候都osc已经超时,造成PayPal有就而OSC没有。只能给让用户退款,让他再正常购买一次。
    3. 在PayPal上没有支付,只复制了return的url在osc执行了一下,家装返回,骗过了osc,所以osc有记录,PayPal无记录,只要删除osc记录就可以,但是要防止这个用户使用恶毒的4.
    4. 分析了“立刻购买”按钮,修改了金额(便宜的多)特别在购买多个商品时候很有隐蔽性,然后自己提交,执行一下retrun url。如果不认真对比,很可能给骗过,直接发货。
  • 日常防范发现不一致的记录
      要想防,首先要能发现不一致的记录,这个最好不要人工一笔一笔的对,这样不现实,因为大家都没时间,一定要能批量自动处理,就像Easy Populate & Products Attributes 一样才有实用价值。能否通过程序来完成呢?目前还不能自动发现不一致的记录!
  • 封堵漏洞
      在return url时候做个判断是否真实支付了,如何判断?目前还不清楚!

总结
osc对return url不判断是个bug。
不能单独以PayPal记录为准或者单独以osc记录为准来处理订单。
以上的bug对所有“网络支付手段”都有效。
目前尚无根治的手段,希望大家发表自己的建议,如何堵漏,如何杀死bug。

Incoming search terms:

Tags:

本文地址: http://blog.21andy.com/20050831/38.html