arnaque mise à 0 commande et transport |
Bienvenue invité ( Connexion | Inscription )
arnaque mise à 0 commande et transport |
22 May 2012, 00:09
Message
#1
|
|
Ceinture orange+ OSC Groupe : Membres Messages : 308 Inscrit : 10-November 02 Membre no 574 |
bonjour
voila j'ai un petit malin qui me passe des commandes via paypal avec dans osc la commande avec le bon montant mais sur paypal 0.15cts du coup j'ai déjà envoyé un colis car je n'avais pas fais attention du montant paypal mis en retour il joue sur plusieurs sessions, avec deux ip différents il à crée pas moins de 5 comptes, j'ai suivi son manège en direct mais je ne trouve pas la solutions voici le log avec les infos, si vous avez une idée du problème merci d'avance (l'adresse ip est modifié) [MODERATION : Ok, ok... c'est peut-être nécessaire au débug (encore que) mais dans ce cas tu mets le log à dispo sur ton site car notre BDD n'est pas faite pour ça ] Ce message a été modifié par Gnidhal - 22 May 2012, 20:47.
Raison de l'édition : Suppression des pages de log trop longues
-------------------- oscommerce 2.3.3.4 , ,easy_populate,Ultimate SEO,Discount Codes,Multiple Produit Manager,Multiorders,
phoenix 1.0.8.6 |
|
22 May 2012, 07:20
Message
#2
|
|
Ceinture noire OSC Groupe : TechDev Messages : 2757 Inscrit : 9-September 08 Lieu : Douai Membre no 22915 |
Bonjour
As tu appliqué cette FAQ ici ? Quels sont tes réglages dans admin configuration sessions ? Chti poupon |
|
22 May 2012, 08:03
Message
#3
|
|
Ceinture orange+ OSC Groupe : Membres Messages : 308 Inscrit : 10-November 02 Membre no 574 |
bonjour chti_poupon
oui cette modification est déjà appiqué sur mon site depuis pas mal de temps voici les réglages sessions Citation Utilisation de force des cookies False Vérifiez l'identification de session True Vérifiez l'utilisateur False Vérifiez l'adresse IP False Empêchez les sessions d'araignée True Recréez une session False merci de m'avoir répondu aussi vite à bientôt thierry -------------------- oscommerce 2.3.3.4 , ,easy_populate,Ultimate SEO,Discount Codes,Multiple Produit Manager,Multiorders,
phoenix 1.0.8.6 |
|
22 May 2012, 08:16
Message
#4
|
|
Ceinture marron OSC Groupe : Modérateurs Messages : 1543 Inscrit : 30-May 06 Lieu : Vichy (03) Membre no 10583 |
Bonjour,
Tu n'aurais pas modifié ton fichier includes/classes/shopping_cart.php des fois ? As-tu bien ces 2 lignes dans les function remove et function add_cart ? : Code // assign a temporary unique ID to the order contents to prevent hack attempts during the checkout procedure
$this->cartID = $this->generate_cart_id(); -------------------- Config 1 en live : Osc 2.2 très fortement modifié ... UTF-8 et Php 5.4.
Contribs installées : down_for_maintenance_v 2.3 | Estimated Shipping v1.5 | imprint_1_3_5 | low_stock_report_v2.04 | visible_countries_1.2b | Products Tabs | shoppingCart_cleanup_v1.01.0 | + trop de bidouilles persos pas très OsCommerce (erreurs de jeunesse) Config 2 en local avec UwAmp : Osc Phoenix |
|
22 May 2012, 08:47
Message
#5
|
|
Ceinture orange+ OSC Groupe : Membres Messages : 308 Inscrit : 10-November 02 Membre no 574 |
bonjour Bonbec
je viens de contrôler j'ai ligne 117 avec this->cartID = $this->generate_cart_id(); ligne 126 Citation // insert into database if (tep_session_is_registered('customer_id')) tep_db_query("insert into " . TABLE_CUSTOMERS_BASKET_ATTRIBUTES . " (customers_id, products_id, products_options_id, products_options_value_id) values ('" . (int)$customer_id . "', '" . tep_db_input($products_id_string) . "', '" . (int)$option . "', '" . (int)$value . "')"); } } } $this->cleanup(); // assign a temporary unique ID to the order contents to prevent hack attempts during the checkout procedure $this->cartID = $this->generate_cart_id(); } } } et ligne 213 avec this->cartID = $this->generate_cart_id(); ligne 220 Citation // remove from database if (tep_session_is_registered('customer_id')) { tep_db_query("delete from " . TABLE_CUSTOMERS_BASKET . " where customers_id = '" . (int)$customer_id . "' and products_id = '" . tep_db_input($products_id) . "'"); tep_db_query("delete from " . TABLE_CUSTOMERS_BASKET_ATTRIBUTES . " where customers_id = '" . (int)$customer_id . "' and products_id = '" . tep_db_input($products_id) . "'"); } // assign a temporary unique ID to the order contents to prevent hack attempts during the checkout procedure $this->cartID = $this->generate_cart_id(); } merci à bientôt thierry -------------------- oscommerce 2.3.3.4 , ,easy_populate,Ultimate SEO,Discount Codes,Multiple Produit Manager,Multiorders,
phoenix 1.0.8.6 |
|
22 May 2012, 14:49
Message
#6
|
|
Ceinture noire OSC Groupe : TechDev Messages : 2757 Inscrit : 9-September 08 Lieu : Douai Membre no 22915 |
Il y a aussi dans catalog/includes/application_top.php un certain nombre de contrôles que tu as bypassé en réglant sur false:
Code // verify the ssl_session_id if the feature is enabled if ( ($request_type == 'SSL') && (SESSION_CHECK_SSL_SESSION_ID == 'true') && (ENABLE_SSL == true) && ($session_started == true) ) { $ssl_session_id = getenv('SSL_SESSION_ID'); if (!tep_session_is_registered('SSL_SESSION_ID')) { $SESSION_SSL_ID = $ssl_session_id; tep_session_register('SESSION_SSL_ID'); } if ($SESSION_SSL_ID != $ssl_session_id) { tep_session_destroy(); tep_redirect(tep_href_link(FILENAME_SSL_CHECK)); } } // verify the browser user agent if the feature is enabled if (SESSION_CHECK_USER_AGENT == 'true') { $http_user_agent = getenv('HTTP_USER_AGENT'); if (!tep_session_is_registered('SESSION_USER_AGENT')) { $SESSION_USER_AGENT = $http_user_agent; tep_session_register('SESSION_USER_AGENT'); } if ($SESSION_USER_AGENT != $http_user_agent) { tep_session_destroy(); tep_redirect(tep_href_link(FILENAME_LOGIN)); } } // verify the IP address if the feature is enabled if (SESSION_CHECK_IP_ADDRESS == 'true') { $ip_address = tep_get_ip_address(); if (!tep_session_is_registered('SESSION_IP_ADDRESS')) { $SESSION_IP_ADDRESS = $ip_address; tep_session_register('SESSION_IP_ADDRESS'); } if ($SESSION_IP_ADDRESS != $ip_address) { tep_session_destroy(); tep_redirect(tep_href_link(FILENAME_LOGIN)); } } Sans cookie pour s'assurer que c'est bien la même machine, la cause pourrait être là. Chti poupon |
|
22 May 2012, 15:07
Message
#7
|
|
Ceinture orange+ OSC Groupe : Membres Messages : 308 Inscrit : 10-November 02 Membre no 574 |
re bonjour
Mon application_top est identique sauf certains T de true que j'ai en majuscules et toi en minuscule Je ne pense pas que cela change quelque chose mais je change en minuscule // verify the ssl_session_id if the feature is enabled if ( ($request_type == 'SSL') && (SESSION_CHECK_SSL_SESSION_ID == 'True') && (ENABLE_SSL == true) && ($session_started == true) ) { $ssl_session_id = getenv('SSL_SESSION_ID'); if (!tep_session_is_registered('SSL_SESSION_ID')) { $SESSION_SSL_ID = $ssl_session_id; tep_session_register('SESSION_SSL_ID'); } if ($SESSION_SSL_ID != $ssl_session_id) { tep_session_destroy(); tep_redirect(tep_href_link(FILENAME_SSL_CHECK)); } } // verify the browser user agent if the feature is enabled if (SESSION_CHECK_USER_AGENT == 'True') { $http_user_agent = getenv('HTTP_USER_AGENT'); if (!tep_session_is_registered('SESSION_USER_AGENT')) { $SESSION_USER_AGENT = $http_user_agent; tep_session_register('SESSION_USER_AGENT'); } if ($SESSION_USER_AGENT != $http_user_agent) { tep_session_destroy(); tep_redirect(tep_href_link(FILENAME_LOGIN)); } } // verify the IP address if the feature is enabled if (SESSION_CHECK_IP_ADDRESS == 'True') { $ip_address = tep_get_ip_address(); if (!tep_session_is_registered('SESSION_IP_ADDRESS')) { $SESSION_IP_ADDRESS = $ip_address; tep_session_register('SESSION_IP_ADDRESS'); } if ($SESSION_IP_ADDRESS != $ip_address) { tep_session_destroy(); tep_redirect(tep_href_link(FILENAME_LOGIN)); } } encore merci pour l'aide, par contre c'est avec des payements via paypal, je n'ai pas vue dans le log de tentative d'achat via atos thierry -------------------- oscommerce 2.3.3.4 , ,easy_populate,Ultimate SEO,Discount Codes,Multiple Produit Manager,Multiorders,
phoenix 1.0.8.6 |
|
22 May 2012, 18:46
Message
#8
|
|
Ceinture noire OSC Groupe : TechDev Messages : 2757 Inscrit : 9-September 08 Lieu : Douai Membre no 22915 |
Je ne comprends pas pourquoi tu parles atos ou paypal, je parle seulement de vérifier qu'on parle bien au même "client" (== couple machine-IP) d'une page à l'autre.
Tu peux (re)voir aussi ce post très détaillé de Gnidhal ici. Pour les réglages de "Sessions", le décryptage est dans l'intercvention de celluloid ici. Chti poupon PS je pense qu'il y a des chances que tes réglages de "sessions" aient favorisé cet escroc |
|
22 May 2012, 19:38
Message
#9
|
|
Ceinture orange+ OSC Groupe : Membres Messages : 308 Inscrit : 10-November 02 Membre no 574 |
merci
je contrôle le site pour arriver à trouver, quand je reprend les logs, la 1er fois il a réussi en 1 heure, la 3éme il a mis quand même 6h ! pour atos et paypal j'ai indiqué comme ça au cas ou encore merci à bientôt thierry -------------------- oscommerce 2.3.3.4 , ,easy_populate,Ultimate SEO,Discount Codes,Multiple Produit Manager,Multiorders,
phoenix 1.0.8.6 |
|
22 May 2012, 20:45
Message
#10
|
|
5eme dan OSC Groupe : Administrateur Messages : 9221 Inscrit : 4-March 03 Lieu : Pau Membre no 927 |
Vérifie l'installation de ta contrib Paypal et refais tout pas à pas.
Ce procédé de double commande sur un même compte en parallèle ne peut valider une commande dont le montant ne serait pas bon car les id de session ne sont pas identiques. Par ailleurs les montants sont vérifiés lors de la validation par Paypal. Et même si, le fait de procéder de la sorte pour un client est répréhensible et peut être puni par la loi : c'est simplement du vol par un procédé de piratage. Donc tu peux porter plainte contre le malfaisant car il y a clairement escroquerie. Comme tu as ses coordonnées c'est normalement facile : 1 plainte auprès de Paypal (là il va se faire marquer en rouge) et renseigne-toi plus avant auprès des services concernés (recherche via GG) une plainte auprès des services publiques pour fraude. Une piste : https://www.internet-signalement.gouv.fr/Po...nsUtiles.action Il est important de faire valoir tes droits. Par ailleurs, j'ai supprimé tes logs qui ne présentent guère d'intérêt pour le débug mais pourraient donner des idées à quelques apprentis hackers à qui le coté "sportif" pourrait plaire. Ne les livre donc que sur demande expresse à un membre identifié ici. Et attention à la syntaxe : en booléen true = True = TRUE... insensible à la casse. Mais en type chaine 'true' != 'True' vérifie que les valeurs de ces define (dans la table configuration) sont bien enregistrés à l'identique. Malheureusement il s'agit de valeurs chaine et non de booléens. -------------------- Tout d'abord : - Ni Hotline ni Service Après Vente, ces forums sont un lieu d'échange. BIEN POSER SA QUESTION (généralités)
Les "Informations Importantes" que vous devez ABSOLUMENT avoir lues : Règlement, Bien poser sa question dans ces forums et Bien utiliser les Forums. Les raccourcis pour gagner du temps : la FAQ, les PDF de la Doc (MS2-fr): PDF-V1 et PDF-V2, le moteur de Recherche sur les forums , la Liste des Contributions de Corbin. ----------------------------- Quelques sites de référence --------------------------- PHP: Le site du Zéro et PHP Débutant avec la DOC en français -- HTML: Self HTML - WebProgrammation -- CSS: OpenWeb - AlsaCréations - CSS/Edge -- Autres ressources: - XajaX - highslide js Les bons outils : EasyPHP - WAMP-5 - - Notepad++ - Firefox et son extension WebDeveloper Le gène idéal c'est le gène original. Le génie des halles est un Génie des Alpages qui tente d'être à la page. (Merci f'murrr pour les cours de philosophie de chien) |
|
22 May 2012, 22:00
Message
#11
|
|
Ceinture orange+ OSC Groupe : Membres Messages : 308 Inscrit : 10-November 02 Membre no 574 |
Bonsoir Gnidhal
Merci pour les informations Je fais les modifications Pour la plainte je crois que je ne vais pas en avoir besoins, j'ai normalement un chèque des parents qui arrive demain, la complicité de vol ,les parents ne semble pas avoir aimé J'ai quand même envoyé des mails au FAI pour signaler le piratage, ainsi qu'a paypal encore merci à bientôt thierry -------------------- oscommerce 2.3.3.4 , ,easy_populate,Ultimate SEO,Discount Codes,Multiple Produit Manager,Multiorders,
phoenix 1.0.8.6 |
|
Version bas débit | Nous sommes le : 28th March 2024 - 22:48 |
Ce site est déclaré auprès de la commision Nationale de l'Informatique et des Libertés (déclaration n°: 1043896) |