یک چهارم وباپهای پرداخت، جعل رویداد Stripe رو قبول میکنن
جاوااسکریپت
نود جیاس
پایتونیک اسکن امنیتی روی ۶۰۰۰ وباپ نشون داد که ۱۵۴۲ تاشون — یعنی تقریباً یک چهارم — رویدادهای جعلی Stripe رو بدون بررسی امضا قبول میکنن. این یعنی هر کسی میتونه یه درخواست POST ساده بزنه و بدون پرداخت واقعی، اکانتش رو به پلن پولی ارتقا بده. ریشه مشکل اینه که توسعهدهندهها در مرحله توسعه، چک امضا رو به TODO موکول میکنن و بعد فراموشش میکنن. رفع این باگ با چند خط کد و استفاده از SDK رسمی Stripe کاملاً ممکنه.
این محتوا بهصورت خودکار با استفاده از هوش مصنوعی تولید شده است. بررسی نهایی آن پیش از استفاده توصیه میشود و مسئولیت استفاده از آن بهعهده کاربر است. برای مطالعه متن اصلی خبر،اینجا را کلیک کنید
خلاصهٔ کاملتر
یه تیم امنیتی اخیراً حدود ۶۰۰۰ وباپ رو با یه ماژول تست bypass پرداخت اسکن کرده. منطق تست سادهست: یه رویداد جعلی checkout.session.completed بدون هدر Stripe-Signature به مسیرهای رایج وبهوک ارسال میشه، و نگاه میکنن کدوم سرورها جواب 200 میدن. نتیجه تکاندهنده بود: ۱۵۴۲ اپ — تقریباً یک چهارم — رویداد جعلی رو پذیرفتن. هیچ احراز هویتی، هیچ بررسی امضایی، هیچ محافظتی در برابر replay نداشتن.
پیلودی که ارسال شده خیلی سادهست؛ دقیقاً همون چیزیه که مستندات Stripe توصیف میکنه، فقط بدون امضای رمزنگاریشده:
خلاصهٔ کاملتر این خبر رو میتونی با داشتن اشتراک ویژه بخونی!
اشتراک رایگان
- دسترسی به خلاصهٔ کوتاه خبر
- دسترسی به خلاصهٔ کامل/اختصاصی خبر + نکات کلیدی
- ارسال اخبار مورد علاقه به ایمیل شما
- ارسال اخبار مورد علاقه به تلگرام شما
- عدم نمایش تبلیغات
اشتراک ویژه
- دسترسی به خلاصهٔ کوتاه خبر
- دسترسی به خلاصهٔ کامل/اختصاصی خبر + نکات کلیدی
- ارسال اخبار مورد علاقه به ایمیل شما
- ارسال اخبار مورد علاقه به تلگرام شما
- عدم نمایش تبلیغات
