Paypal security leak?

Pagina: 1
Acties:

Onderwerpen


Acties:
  • 0 Henk 'm!

  • NeFoRcE
  • Registratie: Mei 2004
  • Laatst online: 09-10 14:43

NeFoRcE

Hallo? Bent u daar?

Topicstarter
Heren,

Volgens mij zit er een security leak in het systeem van paypal.

In onderstaande flow is namelijk het volgende mogelijk:

Afbeeldingslocatie: https://www.paypalobjects.com/webstatic/en_US/developer/docs/ec/EC_hooks.gif

In de stap waarbij 'DoExpressCheckoutPayment' wordt aangeroepen is het voor de developer nog mogelijk om het af te boeken bedrag te wijzigen. Wanneer er een order aangemaakt van bijv 20 euro, je klikt op paypal betaling, logged in, en ziet het bedrag van 20 euro staan en je klikt op doorgaan, is het mogelijk om daarna bijv X euro af te boeken. De gebruiker zal na het klikken op doorgaan dit niet zien en direct worden doorgeleid naar de website.

Vervolgens moet je als eindgebruiker maar via mail/paypal transactieoverzicht er achter komen wat er daadwerkelijk is afgeboekt.

Am i right?

[ Voor 1% gewijzigd door NMe op 25-06-2015 12:09 ]

Professioneel Heftruck Syndroom


Acties:
  • 0 Henk 'm!

  • SinergyX
  • Registratie: November 2001
  • Laatst online: 09-10 20:40

SinergyX

____(>^^(>0o)>____

Nee, dan heb je namelijk een invalid token bij confirmation die je bij CheckoutDetails moet opgeven, waarmee je enkel jezelf zal hebben als PayPal deze afwijking ziet :P

Nog 1 keertje.. het is SinergyX, niet SynergyX
Im as excited to be here as a 42 gnome warlock who rolled on a green pair of cloth boots but was given a epic staff of uber awsome noob pwning by accident.


Acties:
  • 0 Henk 'm!

  • D4NG3R
  • Registratie: Juli 2009
  • Nu online

D4NG3R

kiwi

:)

Als jij van een site naar de paypal api gaat word al een bedrag mee gestuurd, vanaf dat moment kan de site waar je vandaan komt helemaal niks meer doen totdat het proces voltooid of geannuleerd is.

Dus nee. Dat kan niet.

Komt d'r in, dan kö-j d’r oet kieken


Acties:
  • 0 Henk 'm!

  • Patrock
  • Registratie: Augustus 2011
  • Laatst online: 09:52

Patrock

Eat - ride - sleep - repeat

Bij call SetExpressCheckout worden de details ingevoerd. in de volgende stappen worden deze waarden die bekend zijn getoond (get express checkout details) Hierbij kunnen details niet worden aangepast aan de bestelling. en worden de gegevens terug gestuurd naar de merchant. Deze kan nu alleen zeggen bij DoExpressCheckout order id xxx status merchant = approved action = process waarbij jij als klant op paypal hebt aangegeven van ik ben akkoord. De Api geeft vervolgens terug of action voltooid is of een error heeft. indien voltooid krijg jij de confirmation.

Acties:
  • 0 Henk 'm!

  • NMe
  • Registratie: Februari 2004
  • Laatst online: 09-09 13:58

NMe

Quia Ego Sic Dico.

En daarom haal ik ook de members only-tag uit de topicstart weg. Van lege topics voor niet-ingelogde mensen wordt niemand vrolijk en je beschermt PayPal er niet mee omdat je aanname niet klopt. :)

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.


Acties:
  • 0 Henk 'm!

  • Releases
  • Registratie: Maart 2009
  • Laatst online: 06-10 10:30

Releases

Ja maar!

Opzich is zijn redenatie niet gek, dit was namelijk wel degelijk mogelijk geweest in het verleden. Kwam door buggy software met api op sommige webshops.

Acties:
  • 0 Henk 'm!

  • Katerin
  • Registratie: Februari 2010
  • Laatst online: 06-10 20:41
Ik snap wel waar je vandaan komt bij de snelle checkout.
Dat je na het paypal proces je nog de verzendkosten of andere opties moet kiezen en dan pas afronden. ?

Acties:
  • 0 Henk 'm!

  • Mavamaarten
  • Registratie: September 2009
  • Laatst online: 09-10 15:54

Mavamaarten

Omdat het kan!

Releases schreef op donderdag 25 juni 2015 @ 12:15:
Opzich is zijn redenatie niet gek, dit was namelijk wel degelijk mogelijk geweest in het verleden. Kwam door buggy software met api op sommige webshops.
Dat is dan een fout in de implementatie van hun webshop, geen fout in de Paypal API ;)

Ik heb zelf ook wel eens een paar gamekeys voor $0,01 besteld omdat een brak opgezette webshop de bedragen gewoon als form-data meestuurde.

Android developer & dürüm-liefhebber


Acties:
  • 0 Henk 'm!

  • Patrock
  • Registratie: Augustus 2011
  • Laatst online: 09:52

Patrock

Eat - ride - sleep - repeat

Op de volgende pagina kun je alle argumenten waar de API mee overweg kan vinden.
https://developer.paypal....ayment_API_Operation_NVP/

Hieruit valt bij elke manipuleerbare data op te maken dat er een check inzit naar de informatie die in eerste instantie is verstuurd naar paypal, en de gegevens die de klant vervolgens zelf heeft kunnen controleren. en akkoord op gegeven. wijkt dit af, dan zal de betaling niet verwerkt worden.

Als je naar meer fouten wilt zoeken in producten is de documentatie van de API de plek om te zoeken, aan de hand van de stroomschema's kun je wel leuke ideén opdoen waar je wilt zoeken :)

Wil je het proces echt ontleden moet je de verschillende api calls uit het stroomschema naast elkaar gaan leggen.

Acties:
  • 0 Henk 'm!

  • NeFoRcE
  • Registratie: Mei 2004
  • Laatst online: 09-10 14:43

NeFoRcE

Hallo? Bent u daar?

Topicstarter
Thanks voor alle feedback. Echter is het mij zojuist toch echt gelukt om mijzelf 2 cent weer te geven in de pagina waarbij je moet klikken op 'doorgaan' en dat er in het 'DoExpressCheckoutPayment' proces, 5 cent wordt afgeboekt.

Het enige wat ik dus zie is dat er 2 cent afgeboekt zal worden, en in mijn transactieoverzicht op paypal staat toch echt 5 cent afgeboekt.

Professioneel Heftruck Syndroom


Acties:
  • 0 Henk 'm!

  • SinergyX
  • Registratie: November 2001
  • Laatst online: 09-10 20:40

SinergyX

____(>^^(>0o)>____

'doorgaan'? Bedoel je dan na inlog en akkoord op de site van PayPal?

Ik neem aan dat jij dat PAYMENTREQUEST_0_AMT aanpast?

Lijkt me nog zeer onwaarschijnlijk (of je speelt met shipping/taxes), wat weer niet werkt bij digitale goederen, maar leg het eens voor bij PayPal, kijken wat die te vertellen hebben.
Mavamaarten schreef op donderdag 25 juni 2015 @ 12:18:

Dat is dan een fout in de implementatie van hun webshop, geen fout in de Paypal API ;)

Ik heb zelf ook wel eens een paar gamekeys voor $0,01 besteld omdat een brak opgezette webshop de bedragen gewoon als form-data meestuurde.
En er staat gewoon in die handleiding (en php voorbeelden) dat je nooit direct forms moet inlezen maar ze via dbase te laten lopen :P

Nog 1 keertje.. het is SinergyX, niet SynergyX
Im as excited to be here as a 42 gnome warlock who rolled on a green pair of cloth boots but was given a epic staff of uber awsome noob pwning by accident.


Acties:
  • 0 Henk 'm!

  • NeFoRcE
  • Registratie: Mei 2004
  • Laatst online: 09-10 14:43

NeFoRcE

Hallo? Bent u daar?

Topicstarter
Ik zie het bedrag van 2 cent op het scherm nadat ik inderdaad ingelogd ben (maar ben standaard ingelogd) dus zie direct het bedrag. Klik ik op doorgaan, dan verloopt er een proces, en zonder interactie wordt ik doorverwezen naar de website weer. Ik denk dat er 2 cent is afgeboekt, en toch is er X afgeschreven. Dit alles op een testsite van mij. Enige wat aangepast wordt in dat laatste niet-zichtbare proces is de waarde naar deze functie:

function ConfirmPayment( $FinalPaymentAmt )

En als ik dat zie heb je inderdaad gelijk, de waarde van PAYMENTREQUEST_0_AMT wordt daarbij aangepast.

Elke webdevver zou dit kunnen doen. Dat lijkt mij toch niet echt chill?

Professioneel Heftruck Syndroom


Acties:
  • 0 Henk 'm!

  • pennywiser
  • Registratie: November 2002
  • Laatst online: 09-10 18:51
Echt?, geen dames hier aanwezig denk je?

Acties:
  • 0 Henk 'm!

  • SinergyX
  • Registratie: November 2001
  • Laatst online: 09-10 20:40

SinergyX

____(>^^(>0o)>____

NeFoRcE schreef op donderdag 25 juni 2015 @ 12:51:
Elke webdevver zou dit kunnen doen. Dat lijkt mij toch niet echt chill?
Daarom zeg ik, in de basis kan dit niet door de token (die je krijgt bij opbouw van de totaalprijs), uitzondering is gebruik maken van shipping/taxes, was het op zo'n simpele schaal mogelijk, was het natuurlijk al lang bekend.

Maar nogmaals, leg het gewoon bij PayPal neer, mogelijk dat je testcase niet goed is, zij zien ook wat er aan hun kant gebeurd.

Nog 1 keertje.. het is SinergyX, niet SynergyX
Im as excited to be here as a 42 gnome warlock who rolled on a green pair of cloth boots but was given a epic staff of uber awsome noob pwning by accident.


Acties:
  • 0 Henk 'm!

  • Katerin
  • Registratie: Februari 2010
  • Laatst online: 06-10 20:41
pennywiser schreef op donderdag 25 juni 2015 @ 13:07:
[...]

Echt?, geen dames hier aanwezig denk je?
Och ik ga wel door voor heer hoor als het moet :D
SinergyX schreef op donderdag 25 juni 2015 @ 13:13:
[...]

Daarom zeg ik, in de basis kan dit niet door de token (die je krijgt bij opbouw van de totaalprijs), uitzondering is gebruik maken van shipping/taxes, was het op zo'n simpele schaal mogelijk, was het natuurlijk al lang bekend.
Dit dus
Pagina: 1