Résolu "Faille PayPal"

[Excalibur']

Salut, je voulais vraiment savoir si la faille PayPal expliquée dans

Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.

marche vraiment ou si c'est un fake. Et si sa marche, je suppose qu'on ne recevra pas notre commande

 

[Exagon]

fake

 

[Excalibur']

OK

 

[Adil']

Salut, je voulais vraiment savoir si la faille PayPal expliquée dans

Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.

marche vraiment ou si c'est un fake. Et si sa marche, je suppose qu'on ne recevra pas notre commande

C'est pas du fake mais PayPal prend sa très au sérieux donc ils risquent de porter plainte

 

[Excalibur']

OK, donc, j'ai une chance de recevoir ma commande ?

 

[Sni']

Surement patché ..

 

[Excalibur']

Surement patché ..

Tu entends quoi par patché ?

 

[Sni']

Tu entends quoi par patché ?

Bah ne marche plus car Paypal a réparé le problème pour que la faille n'existe plus

 

[Excalibur']

ok

 

[MSLift]

J'utilise Paypal sur mon site et je connais cette astuce, qui n'est pas une faille de Paypal.
En fait, ce que vous faites c'est que vous modifier le montant a payer, donc quand le site contacte paypal pour vérifier le paiement, paypal dit que la commande a été payée.

Le truc, c'est que si le site oublie de vérifier combien le mec a payer, il valide la commande peut importe le montant.

 

[Tamite1145]

La faille ne marche plus depuis un bon bout de temps

 

[MSLift]

La faille ne marche plus depuis un bon bout de temps

Ca n'a jamais été une faille, c'est juste que les sites ne vérifiait pas le montant.
D'ailleurs ça fonctionne encore sur certains sites, surtout sur les sites amateurs.

 

[Tamite1145]

sans doute mais c’était réellement une faille puisque les gros site n’ont aucune personne vérifiant les somme derrière donc sa marcher

 

[MSLift]

sans doute mais c’était réellement une faille puisque les gros site n’ont aucune personne vérifiant les somme derrière donc sa marcher

Les sites en questions peuvent depuis toujours vérifier le montant du paiement, je le sais car j'utilise l'API Paypal depuis plusieurs années

 

[deleted37808]

Je n'ai pas regardé la vidéo, mais j'utilisais une faille y a quelques temps que j'avais même partager sur RG puis delete.
Je devais inspecter l'élément et mettre un code html sur le prix, sa me permettait de mettre le prix à 1 centimes.
Les sites peu sécurisé ne voyait rien du coup.

 

[Boubi SEC]

Salut,
Deja je pense que la faille n'est plus d'actualité de plus je te déconseille de pratiquer ce genre de "faille" Paypal cela peut aller très loin, je parle de judiciairement.

 

[→W∃aK ←]

Il n'existe AUCUNE faille sur Paypal. C'est simplement certains sites marchands amateurs qui utilisent très mal l'IPN de Paypal.

La vidéo que tu as envoyé met en pratique une modification du montant dans la requête qui va mener à la page de Paypal.

Une fois le payement effectué, le montant ainsi que le numéro de transaction et tous les détails de la transaction sont envoyés par le biais d'une simple requête sur le serveur du site sur lequel tu viens de payer par Paypal à la seconde même où tu as payé.

Le site va alors vérifier le payement en renvoyant la requête à Paypal, si c'est OK il enregistre ton payement et fait l'action voulue (enregistre ta commande, te crédite de X points, etc, etc).
Le problème ici c'est que certains développeurs en mousse vérifient SEULEMENT si lorsqu'ils renvoyent la requête de l'IPN à Paypal la réponse est OK, sauf qu'on peut très bien modifier le montant comme c'est réalisé dans la vidéo ou encore l'email de la personne qui va reçevoir le payement, et la requête sera toujours OK du côté de Paypal vu que l'ont à bien payé 0.01 centimes d'€ et que la transaction est OK. Il faut donc impérativement vérifier, si vous utilisez l'IPN que le montant de la transaction correspond à celui de l'item et que l'e-mail de reçeveur est bien le votre.

Il ne constitue en rien un hack, il faut savoir que pour toutes les transactions traités via l'IPN c'est comme si tu payais via la page d'envoi d'argent de Paypal, tu peux très bien changer le prix, l'e-mail de receveur original c'est du côté du développeur de vérifier ça et ce n'est pas le problème de Paypal.

Donc en gros ce type de douille tu pourras uniquement le faire sur des sites de merde qui utilisent l'IPN et qui n'ont pas eu un brin de bon sens pour vérifier la somme reçue avant d'autoriser la commande, et généralement c'est ces mêmes sites qui vérifient manuellement (en se connectant au Paypal du boss et regardent la transaction) avant d'envoyer l'objet, donc concrétement c'est assez useless c'est un peu comme les sites qui vérifient simplement le checksum d'une CB sans vérifier auprès de la banque et qui te valident ta commande, ils ne sont pas dûpes et avant de traiter ta commande ils vérifient eux même à la main.

 

[Jowa]

Bah ne marche plus car Paypal a réparé le problème pour que la faille n'existe plus

Ce n'est pas une faille au niveau de PayPal mais du Site WEB qui à mis en place le système... au niveau des requètes [HTTP]

 

[Jowa]

Il n'existe AUCUNE faille sur Paypal.
La vidéo que tu as envoyé met en pratique simplement une modification du montant dans la requête qui va mener à la page de Paypal.

Une fois le payement effectué, le montant ainsi que le numéro de transaction et tous les détails de la transaction sont envoyés par le biais d'une simple requête sur le serveur du site sur lequel tu viens de payer par Paypal à la seconde même où tu as payé.

Le site va alors vérifier le payement en renvoyant la requête à Paypal, si c'est OK il enregistre ton payement et fait l'action voulue (enregistre ta commande, te crédite de X points, etc, etc).
Le problème ici c'est que certains développeurs en mousse vérifient SEULEMENT si lorsqu'ils renvoyent la requête de l'IPN à Paypal la réponse est OK, sauf qu'on peut très bien modifier le montant comme c'est réalisé dans la vidéo ou encore l'email de la personne qui va reçevoir le payement, et la requête sera toujours OK du côté de Paypal vu que l'ont à bien payé 0.01 centimes d'€ et que la transaction est OK. Il faut donc impérativement vérifier, si vous utilisez l'IPN que le montant de la transaction correspond à celui de l'item et que l'e-mail de reçeveur est bien le votre.

Il ne constitue en rien un hack, il faut savoir que pour toutes les transactions traités via l'IPN c'est comme si tu payais via la page d'envoi d'argent de Paypal, tu peux très bien changer le prix, l'e-mail de receveur original c'est du côté du développeur de vérifier ça et ce n'est pas le problème de Paypal.

Donc en gros ce type de douille tu pourras uniquement le faire sur des sites de merde qui utilisent l'IPN et qui n'ont pas eu un brin de bon sens pour vérifier la somme reçue avant d'autoriser la commande, et généralement c'est ces mêmes sites qui vérifient manuellement (en se connectant au Paypal du boss et regardent la transaction) avant d'envoyer l'objet, donc concrétement c'est assez useless c'est un peu comme les sites qui vérifient simplement le checksum d'une CB sans vérifier auprès de la banque et qui te valident ta commande, ils ne sont pas dûpes et avant de traiter ta commande ils vérifient eux même à la main.

Je viens de voir ton message "Complet" !

 

[MSLift]

Il n'existe AUCUNE faille sur Paypal. C'est simplement certains sites marchands amateurs qui utilisent très mal l'IPN de Paypal.

La vidéo que tu as envoyé met en pratique une modification du montant dans la requête qui va mener à la page de Paypal.

Une fois le payement effectué, le montant ainsi que le numéro de transaction et tous les détails de la transaction sont envoyés par le biais d'une simple requête sur le serveur du site sur lequel tu viens de payer par Paypal à la seconde même où tu as payé.

Le site va alors vérifier le payement en renvoyant la requête à Paypal, si c'est OK il enregistre ton payement et fait l'action voulue (enregistre ta commande, te crédite de X points, etc, etc).
Le problème ici c'est que certains développeurs en mousse vérifient SEULEMENT si lorsqu'ils renvoyent la requête de l'IPN à Paypal la réponse est OK, sauf qu'on peut très bien modifier le montant comme c'est réalisé dans la vidéo ou encore l'email de la personne qui va reçevoir le payement, et la requête sera toujours OK du côté de Paypal vu que l'ont à bien payé 0.01 centimes d'€ et que la transaction est OK. Il faut donc impérativement vérifier, si vous utilisez l'IPN que le montant de la transaction correspond à celui de l'item et que l'e-mail de reçeveur est bien le votre.

Il ne constitue en rien un hack, il faut savoir que pour toutes les transactions traités via l'IPN c'est comme si tu payais via la page d'envoi d'argent de Paypal, tu peux très bien changer le prix, l'e-mail de receveur original c'est du côté du développeur de vérifier ça et ce n'est pas le problème de Paypal.

Donc en gros ce type de douille tu pourras uniquement le faire sur des sites de merde qui utilisent l'IPN et qui n'ont pas eu un brin de bon sens pour vérifier la somme reçue avant d'autoriser la commande, et généralement c'est ces mêmes sites qui vérifient manuellement (en se connectant au Paypal du boss et regardent la transaction) avant d'envoyer l'objet, donc concrétement c'est assez useless c'est un peu comme les sites qui vérifient simplement le checksum d'une CB sans vérifier auprès de la banque et qui te valident ta commande, ils ne sont pas dûpes et avant de traiter ta commande ils vérifient eux même à la main.

Merci, j'avais la flemme de tout expliquer x)
Le pire, c'est que tu peux juste changer le montant + l'adresse email pour mettre celle d'un pote, comme ça tu perds même pas 1 centimes en testant