2010年 9月 28

PayPal決済モジュールはチェックが甘い?

PayPal決済モジュールは支払先のメールアドレス(receiver_email)の正当性しかチェックしていない。

支払われた金額のチェックを行っていないため、(ポストされる内容を変更など)不正な金額を支払ったとしても入金済みにしてしまう。
PayPalから届く入金確認メールの金額と違っていないか確認する必要がある。

また、支払い済みのトランザクションIDの記録やチェックも行っていないため、不正利用される可能性もあると思われる。

(たしか)PayPalからダウンロードしたPerlのサンプルスクリプトにもレスポンスが VERIFIED の場合以下のチェックを行えとある。

# check the $payment_status=Completed
# check that $txn_id has not been previously processed
# check that $receiver_email is your Primary PayPal email
# check that $payment_amount/$payment_currency are correct

ちょっとチェック不足な気がするが・・・。

つづきをどぞ
EC-CUBE PayPal決済モジュールのチェック機構を強化する

More from my site

  • EC-CUBE PayPal決済モジュールのチェック機構を強化するEC-CUBE PayPal決済モジュールのチェック機構を強化する EC-CUBE PayPal決済モジュールの注意点の続き PayPal決済モジュールのチェック機構を強化 とりあえずのコードを書いてみた。 なれないPHPだし、PostgreSQLだしで、いいのか悪いのか判断できません。 基本的にEC-CUBE本体から拾ったコードを再利用しただけです。 コードはEC-CUBE 開発コミュニティサイト - […]
  • EC-CUBE 2.11 + PayPal ウェブペイメントプラスの動作はなかなか良いかもEC-CUBE 2.11 + PayPal ウェブペイメントプラスの動作はなかなか良いかも EC-CUBE […]
  • PerlでPayPal エクスプレスチェックアウトAPIのLandingPageオプションを使うPerlでPayPal エクスプレスチェックアウトAPIのLandingPageオプションを使う Perlモジュール Business::PayPal::API PayPalのAPIを使う時は Business::PayPal::API というモジュールが便利。 先日のエントリー PayPal利用時の決済フローを考える でLandingPageオプションの事を書いたのですが、Business::PayPal::API […]
  • PayPal利用時の決済フローを考えるPayPal利用時の決済フローを考える ウェブ ペイメント スタンダードを利用した場合 PayPalで決済する際、ウェブ ペイメント […]
  • PayPalウェブペイメントスタンダードもリニューアルしたんだねPayPalウェブペイメントスタンダードもリニューアルしたんだね 随分前に、PayPalのsandboxで見た事があったんだけど、いつの間にかリリースしていた決済画面。 ウェブペイメントスタンダードの欠点だったPayPal会員以外がクレジットカード決済するのに分かりにくい・・・っていうのが改善された感じ。 ウェブサイト自体も日本語化がかなり進んでいるみたいだし、日本でも本格的に活動していきそうな感じがする。 実際かなり便利 […]
  • PayPal sandboxでの環境設定PayPal sandboxでの環境設定 IPN(即時支払い通知)のシステム構築 以前作ったsandboxでのテスト環境を使って、別の事業を構築する為のテストを行ったらエラーに悩まされた。 IPNで通知される状態が payment_status=Pending pending_reason=paymentreview となってしまう。悩んだあげく、受取人のアカウント設定がおかしいのに気付く。 前にいろ […]

Filed under: EC-CUBE,PayPal

Trackback Uri



コメントする