یک چهارم وباپهای پرداخت، جعل رویداد Stripe رو قبول میکنن
جاوااسکریپت
نود جیاس
پایتونیک اسکن امنیتی روی ۶۰۰۰ وباپ نشون داد که ۱۵۴۲ تاشون — یعنی تقریباً یک چهارم — رویدادهای جعلی Stripe رو بدون بررسی امضا قبول میکنن. این یعنی هر کسی میتونه یه درخواست POST ساده بزنه و بدون پرداخت واقعی، اکانتش رو به پلن پولی ارتقا بده. ریشه مشکل اینه که توسعهدهندهها در مرحله توسعه، چک امضا رو به TODO موکول میکنن و بعد فراموشش میکنن. رفع این باگ با چند خط کد و استفاده از SDK رسمی Stripe کاملاً ممکنه.
این محتوا بهصورت خودکار با استفاده از هوش مصنوعی تولید شده است. بررسی نهایی آن پیش از استفاده توصیه میشود و مسئولیت استفاده از آن بهعهده کاربر است. برای مطالعه متن اصلی خبر،اینجا را کلیک کنید
