Discussion :

[elekaj34]

Bonjour,

Sur ma boutique, j'ai intégré Paypal comme moyen de paiement. Precisions. Le panier est géré par mon site, l'enregistrement du client, le choix de l'adresse de livraison ainsi que du mode de paiement se fait sur le site. Au moment de valider la commande, si Paypal a été sélectionné, le site renvoi (via le form html) vers le site Paypal pour effectuer le paiement.

Evidemment, paypal me retourne l'ipn (que j'analyse) et c'est là que je me pose des questions. Quid de la sécurité ! Voici ce que j'ai mis en place.

1) je vérifie que l'IP de connexion appartient à Paypal.
2) comme j'envoie le N° de commande à Paypal, je vérifie que dans l'ipn, la variable existe et corresponde à une commande valide.

Je trouve c'est solutions anti hack un peu légères à mon gout car facilement contournable et du coup, j'aimerais savoir quelles sont les solutions anti-hack que je pourraient rajouter .

Avez vous des infos la dessus ?

[RideKick]

SAlut ,

Si je ne m'abuse paypal te renvoi l'ipn sur une page ton choix sur laquelle le visiteur ne tombe pas ? que donc personne ne connait ? quel est le probleme de securite ?

[elekaj34]

Oui d'accord sur ce que tu dit.

Maintenant, je suis un méchant acheteur. Je vais sur ledit site evidemment, sur la page qui renvoie vers paypal, je regarde le code source et miracle, je vois dans le form html paypal l'url de la page du notify.

Donc moi mechant acheteur, j'annule le paiement Paypal et depuis mon pc, je fait une reqête sur la page du notify.
Evidemment, l'ip de connexion n'est pas de Paypal donc mon système rejette la demande. Mais comme je suis très méchant, je fais croire (ip forging) que l'ip est celle de paypal. La première barrière est cassée

Ensuite, la seconde barrière est cassée de fait, puisque l'invoice est envoyée

Vous avez dit parano ?

Enfin, je me dis que les variable verify_sign et les différents id de l'ipn ne sont pas là pour faire jolies et qu'elles doivent bien avoir une utilité non ?

[RideKick]

Mais l'URL de retour n'est pas paramétrable dans le backoffice de paypal ? si c'est le cas pourquoi le méchant acheteur trouverait celle ci dans le code source de la page de paiement ?

[elekaj34]

Il y a 2 possibilités, retour auto à la boutique après paiement (et donc url de retour non visible puisque connue que de paypal) ou retour se faisant via l'url donnée dans le formulaire html (et POSTé à paypal). Dans le second cas, l'url est connue.

C'est se second cas que je veux sécuriser (dans le premier, pas de soucis).

[RideKick]

Pourquoi vouloir "securiser" le second cas sachant que tu as le premier ?