Hallo!
Ik maak regelmatig webshops etc.(De software schrijf ik zelf 
), maar nu had ik een vraagje.
Voor bv Paypal/Ideal moet je in de notify/report url de geposte variabelen nog een keer controleren(amount, price etc.). Dit is ivm veiligheid zeggen ze. De notify/report url wordt op de achtergrond aangeroepen via ssl.
Nu is mijn vraag:
Hoe kunnen de kwaadwillige deze variabelen aanpassen? Gebeurd dit via een packetinjection of hoe? Dan kan ik mijn scripts hier namelijk nog beter tegen beveiligen.
Groeten,
G-baby
Zo'n connecties kunnen inderdaad worden onderschept (typisch door software die zich als een transparante proxy gedraagt), dit kan zelfs voor SSL maar dan krijgt de gebruiker wel een waarschuwing.
Ik denk dat die callback URLs echter voornamelijk dienen voor het geval waar de kwaadwillige juist diegene is die de POST tegenhoudt en aanpast (via tamperdata plugin of dergelijk). Als die het te betalen bedrag zou kunnen aanpassen naar 1cent zou de verkoper niet echt happy zijn 
Ik denk dat die callback URLs echter voornamelijk dienen voor het geval waar de kwaadwillige juist diegene is die de POST tegenhoudt en aanpast (via tamperdata plugin of dergelijk). Als die het te betalen bedrag zou kunnen aanpassen naar 1cent zou de verkoper niet echt happy zijn
Bedankt voor de reactie! Ik zal die tamperplugin is downloaden om mijn security nog verder te verbeteren!
