Lek in Ideal-plugin Oscommerce maakt fraude mogelijk

Goh...zou het dan ook eindelijk eens tijd zijn als ze osCommerce gingen herschrijven naar een variant die het ook doet als register_globals uitgeschakeld is..?

Dankje Evan, dat je mijn toevoeging geplaatst hebt :)

Volgens Ideal is het echter mogelijk dat 'ook andere betaalmodules binnen andere webwinkel platformen hetzelfde risico hebben'.

Het ontbreekt bij iDEAL ook aan correce en concrete documentatie.

Ik ben dan ook benieuwd, wat de reactie is van payment providers als ogone, tripledeal etc. Zijn sites met deze koppeling ook vat baar?

Veelal werkt dit met hidden fields, echter wordt het aanbod van gegevens weer versleuteld met een secret key en moet de afzender in een whitelist staan. "het adres van de afzender moet bekend zijn";

Als er dan gesleuteld wordt met gegevens dan zal de "key" niet meer juist zijn en wordt de transactie niet ingevoerd.

Ben benieuwd hoeveel hobbyisten het slachtoffer gaan worden van crackers. Dit bewijst tevens dat webshop beheer toch een professionele aangelegenheid is.

Het verhaal is mij te sensationeel en verkeerd geschreven. Alleen al de startzin klopt niet: Ideal is niet te misbruiken, punt. Het probleem zit volledig in een plugin van de OScommerce-platformen. Dat die nu toevallig bedoeld is om met iDeal te communiceren heeft niets met het lek te maken, alleen met de impact van de gevolgen.

Ideal? Nooit van gehoord... Ik betaal altijd met iDEAL.

– Michael

Het volgende is te vinden in de OSCommerce fora:


De bewuste module maakt geen gebruik van de standaard functionaliteit van osCommerce en voorziet hierdoor in een mogelijkheid het bedrag te manipuleren voordat dit bedrag naar de iDEAL server wordt verstuurd. Dit is een programmeerfout die eenvoudig op te lossen is door in plaats van een zogenaamde form-variabele ($_POST) het bestaande $order object te gebruiken.

Er is inmiddels een patch voorhanden; vervang in includes/modules/payment/idealm.php


CODE
$iamount = $_POST['idealm_amount'];


door

CODE
// start patch veiligheidslek verlagen bestelbedrag 10-8-2007
global $order;
$iamount = round($order->info['total']*100,0);
//end patch



Al met dus gewoon slordig programmeer werk waar OSCommerce niet de oorzaak van is, al vind ik wel dat zij moeten toe zien op wat voor een extra modules gebruikt worden en of deze wel goed geprogrammeerd zijn. Op deze manier komt hun produkt er juist slecht vanaf.

Bij mij is bankrelatie kontzak, nog steeds nummer 1.Allemaal wel mooi dat internetbetalen maar als je vraagt geef mij maar zwart op wit dat het veilig is hoor je de deur dichtslaan. En wees eens eerlijk wie vertrouwd er nu een bank?

Tsjongejonge.... Als je die zogenaamde patch ziet (dat het zo mag heten!) dan is dit wel een heel domme programmeur geweest. Die kan beter niet meer dit soort tools ontwikkelen. Beginnersfout!

Hoezo meldt het artikel dat een kwaadwillende consument is er in is geslaagd? Is gewoon een slimme jongen die in techniek is geïnteresseerd. Suggestief hoor.

Lijkt mij dat hij dan nog steeds kwaadwillend is, anders had hij het bedrag wel verhoogd in plaats van verlaagd. Suggestief? Hij was toch consument en hij betaalde toch te weinig voor zijn aankoop. Lijkt mij dus een kwaadwillende consument.

Dit is maanden geleden al gemeld maar de banken hebben er niets aan gedaan. Zij leveren zelf die voorbeeldscripts. Gewoon een fout van de banken zelf dus, niet serieus nemen van klachten.

het zou nog beter zijn als de iDEAL-server heen-en-weer zou communiceren naar de server waar de bestelling wordt gedaan

zelf gebruik ik deze techniek bij een site van een klant waarbij het systeem alleen ordernummers en aantallen doorstuurt naar een https server welke vervolgens aan de andere (versturende) server vraagt wat de details zijn zoals bedragen e.d.
die 'responder' is bovendien beveiligd met basic authentication zodat je een _hele_slimme_ jongen moet zijn om dit te kraken