¿Enviando detalles de orden en campos de entrada ocultos?

1

Estoy desarrollando extensiones de pago para múltiples plataformas de comercio electrónico basadas en php para una empresa que tiene su propio procesador de pagos (solo toman la solicitud posterior; hacen los cheques de pareja y los procesan hacia una pasarela de pago real).

Su mecanismo es simple y simple (y arriesgado, supongo). Quieren que desarrolle extensiones que, al final, hagan una llamada posterior a su procesador de pagos de esta manera:

<form method="post" action="https://pp.payment-processor-xyz.com">
<input name="order-amount" type="hidden" value="90.00" />
<input name="order-id" type="hidden" value="1" />
<input name="user-email" type="hidden" value="[email protected]" />
....
....

¿Cómo les digo (o demuestro, quizás) que esto es arriesgado y que un cliente puede interceptarlo fácilmente?

PD: su procesador no tiene acceso al inventario de carros de comerciantes, eso es un trabajo de complemento.

    
pregunta keaton016 16.12.2018 - 08:52
fuente

2 respuestas

0

Mirando los detalles que ha proporcionado. Los ataques lógicos pueden llevarse a cabo utilizando burpsuite o cualquier otro proxy. La cantidad del pedido se puede cambiar a cualquier valor arbitrario.

P.s: - detalles insuficientes sobre el procesamiento y las verificaciones del lado del servidor.

    
respondido por el Vipul Nair 16.12.2018 - 11:43
fuente
-1

Es muy posible utilizar interceptores como burpsuite para cambiar los valores.

Puede ser que pueda asignar números de identificación o etiquetas a cada producto y luego realizar una solicitud basada en publicaciones que luego asignará la identificación al valor asignado en el servidor backend, eliminando así la posibilidad de que se produzcan piruetas.

    
respondido por el Humble 16.12.2018 - 14:17
fuente

Lea otras preguntas en las etiquetas