| Webdesign |
| Systeembeheer |
| Opdrachtgevers |
| Paydutch VirtueMart |
| Betaalmodule Idealm in Oscommerce onveilig |
| donderdag 16 augustus 2007 | |
|
Betaalmodule Idealm in Oscommerce onveilig De module die het gebruik van Ideal in Oscommerce mogelijk maakt is niet veilig, dat heeft Ideal bekend gemaakt in een e-mail aan al haar klanten... Deze module is geen onderdeel van de standaard osCommerce distributie maar is een zogenaamde 'contributie', een module door derden geschreven.De module wordt inmiddels niet meer via osCommerce.nl beschikbaar gesteld, maar is op diverse andere websites, waaronder osCommerce.com, nog wel verkrijgbaar. De email van de bank(en) is helaas niet heel duidelijk; het betreft hier de zogenaamde idealm module. De bewuste module maakt geen gebruik van de standaard functionaliteit van osCommerce en voorziet hierdoor in een mogelijkheid het bedrag te manipuleren voordat dit bedrag naar de iDEAL server wordt verstuurd. Dit is een programmeerfout die eenvoudig op te lossen is door in plaats van een zogenaamde form-variabele ($_POST) het bestaande $order object te gebruiken. Er is inmiddels een patch voorhanden; vervang in includes/modules/payment/idealm.php $iamount = $_POST['idealm_amount']; door // start patch veiligheidslek verlagen bestelbedrag 10-8-2007 global $order; $iamount = round($order->info['total']*100,0); //end patch Deze wijziging voorkomt dat bedragen kunnen worden aangepast. |
| Disclaimer | Links |