用paypal收钱千万注意几个漏洞,和应对策略!
"在线支付"公认比银行汇款方式来的强的多,但是涉及到两套独立系统,所以相互衔接上存在一定的问题,存在出错的可能,千万不可掉以轻心。下面说一下OSC用PayPalCN支付为例说明一下问题!
本例 涉及两套系统
- osCommerce 的账单管理以及
- www.paypal.com/cn 支付接口.
问题两套系统中的订单记录不一致,分4种情况
--------------------------------
no osc记录 PayPal记录 内容一致性 应对
1 有 有 一致 发货
2 无 有 退款,重新购买
3 有 无 删除osc记录,警惕观察
4 有 有 不一致 恶意破坏,高度警惕
-----------------------------
- 什么情况下产生不同结果
- 一切正常没什么可说的。
- 产生的情况如下。
在PayPal磨蹭了半天(比如注册),真实支付后,返回osc时候都osc已经超时,造成PayPal有就而OSC没有。只能给让用户退款,让他再正常购买一次。 - 在PayPal上没有支付,只复制了return的url在osc执行了一下,家装返回,骗过了osc,所以osc有记录,PayPal无记录,只要删除osc记录就可以,但是要防止这个用户使用恶毒的4.
- 分析了“立刻购买”按钮,修改了金额(便宜的多)特别在购买多个商品时候很有隐蔽性,然后自己提交,执行一下retrun url。如果不认真对比,很可能给骗过,直接发货。
- 日常防范发现不一致的记录
要想防,首先要能发现不一致的记录,这个最好不要人工一笔一笔的对,这样不现实,因为大家都没时间,一定要能批量自动处理,就像Easy Populate & Products Attributes 一样才有实用价值。能否通过程序来完成呢?目前还不能自动发现不一致的记录! - 封堵漏洞
在return url时候做个判断是否真实支付了,如何判断?目前还不清楚!
总结
osc对return url不判断是个bug。
不能单独以PayPal记录为准或者单独以osc记录为准来处理订单。
以上的bug对所有“网络支付手段”都有效。
目前尚无根治的手段,希望大家发表自己的建议,如何堵漏,如何杀死bug。
Incoming search terms:
Tags: