Kas yra mokejimo sistema (payment gateway)?

Mokėjimo sistema yra svarbiausias elementas jūsų el parduotuvėje ir ji turi būti saugiausia apsaugant abi puses

Mokejimo sistema R Design

Mokėjimo sistemos yra prekybininkų paslauga, kurią teikia elektroninės prekybos programų paslaugų tiekėjai, leidžiantis apdoroti kreditines korteles ar atlikti tiesioginius mokėjimus elektroninei prekybai, mažmenininkams internete, plytelėms ir paspaudimams ar tradicinėms plytelėms. Mokėjimo sistemų bankas gali pateikti savo klientams, tačiau specializuotas finansinių paslaugų teikėjas gali teikti kaip atskirą paslaugą, pavyzdžiui, mokėjimo paslaugų tiekėją. Mokėjimo sistemos palengvina mokėjimo operaciją perduodant informaciją tarp mokėjimo portalo (pvz., Svetainės, mobiliojo telefono ar interaktyvios balso atsakymo paslaugos) ir išankstinio procesoriaus ar gaunančio banko.

Kaip veikia mokėjimo sistema?

Tipiški sandorių procesai Kai klientas užsisako produktą iš prekybininko, kuriame įgalinti mokėjimo šliuzai, mokėjimo šliuzas atlieka įvairias užduotis operacijai apdoroti. Klientas pateikia užsakymą svetainėje, paspausdamas mygtuką „Pateikti užsakymą“ arba lygiavertį mygtuką, arba galbūt įveda savo kortelės duomenis naudodamasis automatine telefono atsakymo paslauga. Jei užsakymas atliekamas per svetainę, kliento interneto naršyklė užšifruoja informaciją, kurią reikia siųsti tarp naršyklės ir prekybininko interneto serverio. Be kitų būdų, tai gali būti padaryta naudojant SSL („Secure Socket Layer“) šifravimą. Mokėjimo šliuzas gali leisti operacijos duomenis siųsti tiesiai iš kliento naršyklės į šliuzą, apeinant prekybininko sistemas. Tai sumažina prekybininko mokėjimo kortelių pramonės duomenų saugumo standarto (PCI DSS) laikymosi įsipareigojimus, nenukreipiant kliento nuo svetainės. Tada prekybininkas persiunčia informaciją apie operaciją į savo mokėjimo sąsają. Tai dar vienas (SSL) užšifruotas ryšys su mokėjimo serveriu, kurį priglobia mokėjimo šliuzai.

Mokėjimo sistemos forma (payment gateway form)

Kaip įsilaužėliai gali pavogti kreditinių kortelių duomenis iš jūsų „e shop“ parduotuvės?

Jei Parduotuvės „Checkout“ puslapyje turite kreditinės kortelės formą, laikas nerimauti.
Pastebėjome, kad didelė „Payment Gateway“ papildinių dalis klientams leidžia įvesti kreditinės
kortelės informaciją tame pačiame chekout puslapyje. Jei nesaugojote šių duomenų savo internetinėje
parduotuvėje, esant palankioms galimybėms, juos buvo galima perskaityti ir išsaugoti kitame serveryje
esančiame faile. Jei įsilaužėliams pavyks rasti pažeidžiamumą jūsų internetinėje parduotuvėje, labai
tikėtina, kad bus galima įšvirkšti klaviatūros įrašymo įrenginį, kuris gali pavogti jūsų klientų
kreditinių kortelių duomenis.

Skirtumas tarp duomenų įvedimo jūsų internetinėje parduotuvėje ir mokėjimo teikėjo puslapyje

Kai atsiskaitymo puslapyje turite kreditinės kortelės įvesties laukus, šiuos laukus gali paveikti
„JavaScript“ arba PHP kodas. Ši rizika išnyksta, kai reikia įvesti kreditinės kortelės informaciją
kitame puslapyje, pavyzdžiui, „PayPal“, arba kai kreditinės kortelės forma įkeliama iš kitos svetainės
kaip „iframe“. Jei nežinote, kaip šie laukai rodomi jūsų svetainėje, rekomenduojame susisiekti su
mumis ir paaiškinsime, ar yra duomenų nutekėjimo pavojus.

mokejimu sistemu analizavimas kaip yra

Kredito kortelės duomenų pavogimo pavyzdys

Atsiskaitymo puslapyje turite kreditinių kortelių laukus ir naudojate kai kuriuos papildinius, o
vienas iš jų turi pažeidžiamumą, pvz., „Saugomas XSS“, kuris gana dažnai būna įvairiuose papildiniuose.
Primename, kad kuo daugiau papildinių naudosite, tuo didesnė rizika kilti dėl saugos problemų. Visada
įvertinkite savo papildinius. „Stored XSS“ pažeidžiamumas leidžia įsilaužėliui įdėti klaviatūrą jūsų
internetinėje parduotuvėje ir paveikti kreditinės kortelės įvesties laukus.
Tarkime, kad naudojate „WooCommerce“ išplėstinės paieškos papildinį, kuriame neseniai aptikome
„Stored XSS“ pažeidžiamumą. Šis papildinys turi pasirinktinį CSS lauką, kuriame galima išsaugoti CSS kodą.
Esamas „Stored XSS“ pažeidžiamumas leidžia pakeisti šį lauką, net jei vartotojas nėra prisijungęs svetainėje.
Įsilaužėlis įdeda klaviatūrą („JavaScript“ scenarijų), kuris bus įkeltas į kiekvieną puslapį, įskaitant ir
mokėjimo puslapį.

„Keylogger“ yra įkeliamas naudojant saugos pažeidžiamumą „eshop“ papildinio paieškos papildinyje.

Įkeltas klaviatūros žurnalas atrodo taip. Jis įkeliamas į kiekvieną puslapį, įskaitant kasos puslapį.

Įkeltas klaviatūros žurnalas atrodo taip. Jis įkeliamas į kiekvieną puslapį,

„JavaScript“ klaviatūros kodas atrodo taip:

kreditiniu korteliu kodas atrodo taip-RDesign.lt

Paspaudus mygtuką „Pateikti užsakymą“, šis kodas surenka išsamią kredito kortelės informaciją, t. y. Kortelės turėtojo vardą, kortelės numerį, galiojimo pabaigos datą ir saugos kodą, ir siunčia šiuos duomenis naudodamas HTTP POST metodą į įsilaužėlio serverio failą. Tada įsilaužėlio serveryje visi šie duomenys yra saugomi faile credit_cards.txt, PHP kodas atrodo taip:

kredito korteliu surinkta forma atrodo taip-RDesign.lt

„Visus išsaugotus duomenis galima pamatyti faile credit_cards.txt“.

Surinktu kreditiniu korteliu duomenys-RDeseign.lt