SagePay的表单回调可以通过重新使用用户成功交易时指向的成功URL来攻击。这可能会造成重复交易,虚假交易等各种问题。
您可以检查重复的VPSTxId,但这些可以通过黑客回调URL的crypt参数重新生成。
还可以操纵crypt参数以生成不同的“Amount”字段。
我还没有测试通过黑客回调URL crypt参数可以更改其他字段值。
有没有办法(按照PayPal的IPN验证)对SagePay进行双重回调以确保交易是新的和独特的?
答案 0 :(得分:1)
感谢您的帖子。通常,我们鼓励客户尽可能使用服务器集成。我们还会不断监控交易是否存在可疑行为,如果我们怀疑有任何恶意活动,我们会主动与客户联系。
我们建议客户确保他们使用的是当前版本为v3的最新版本的集成协议。获取latest integration documents。
正如Dan建议您可以使用Reporting and Admin API来验证Sage Pay方面确实存在交易,但是我们将积极探索具有额外验证机制(如PayPal的IPN)。
如果您希望我们就此向您提供最新信息,请通过support@sagepay.com或0845 111 44 55与我们的客户服务团队联系。
Sage Pay支持
答案 1 :(得分:0)
您应该始终从成功网址重定向用户 我个人使用完成页面(成功网址)和感谢页面。在完成页面上,您显然应该只处理一次事务(基于事务ID),并且您可以存储随事务发送的crypt。密码必须有效,并且只有加密密钥才能加密 因此,除非你的安全性非常高,否则黑客攻击会非常困难,黑客必须知道你的加密密钥,甚至开始试图破解它。
或者,您应该使用服务器集成,以便通信是服务器 - 服务器,而不是客户端 - 服务器。表单和服务器之间没有什么区别。
10个不变的安全法则
http://technet.microsoft.com/library/cc722487.aspx