osCommerce France : Accueil Forum Portail osCommerce France Réponses aux questions Foire aux contributions

Bienvenue invité ( Connexion | Inscription )

 
Reply to this topicStart new topic
> arnaque mise à 0 commande et transport
thiery
posté 22 May 2012, 00:09
Message #1


Ceinture orange+ OSC
Icône de groupe

Groupe : Membres
Messages : 308
Inscrit : 10-November 02
Membre no 574



bonjour
voila j'ai un petit malin qui me passe des commandes via paypal avec dans osc la commande avec le bon montant mais sur paypal 0.15cts
du coup j'ai déjà envoyé un colis car je n'avais pas fais attention du montant paypal mis en retour
il joue sur plusieurs sessions, avec deux ip différents il à crée pas moins de 5 comptes, j'ai suivi son manège en direct mais je ne trouve pas la solutions
voici le log avec les infos, si vous avez une idée du problème
merci d'avance (l'adresse ip est modifié)

[MODERATION : Ok, ok... c'est peut-être nécessaire au débug (encore que) mais dans ce cas tu mets le log à dispo sur ton site car notre BDD n'est pas faite pour ça wink.gif ]

Ce message a été modifié par Gnidhal - 22 May 2012, 20:47.
Raison de l'édition : Suppression des pages de log trop longues


--------------------
oscommerce 2.3.3.4 , ,easy_populate,Ultimate SEO,Discount Codes,Multiple Produit Manager,Multiorders,
phoenix 1.0.8.6
Go to the top of the page
 
chti_poupon
posté 22 May 2012, 07:20
Message #2


Ceinture noire OSC
Icône de groupe

Groupe : TechDev
Messages : 2757
Inscrit : 9-September 08
Lieu : Douai
Membre no 22915



Bonjour
As tu appliqué cette FAQ ici ?
Quels sont tes réglages dans admin configuration sessions ?
Chti poupon
Go to the top of the page
 
thiery
posté 22 May 2012, 08:03
Message #3


Ceinture orange+ OSC
Icône de groupe

Groupe : Membres
Messages : 308
Inscrit : 10-November 02
Membre no 574



bonjour chti_poupon
oui cette modification est déjà appiqué sur mon site depuis pas mal de temps
voici les réglages sessions
Citation
Utilisation de force des cookies False
Vérifiez l'identification de session True
Vérifiez l'utilisateur False
Vérifiez l'adresse IP False
Empêchez les sessions d'araignée True
Recréez une session False

merci de m'avoir répondu aussi vite
à bientôt thierry


--------------------
oscommerce 2.3.3.4 , ,easy_populate,Ultimate SEO,Discount Codes,Multiple Produit Manager,Multiorders,
phoenix 1.0.8.6
Go to the top of the page
 
Bonbec
posté 22 May 2012, 08:16
Message #4


Ceinture marron OSC
Icône de groupe

Groupe : Modérateurs
Messages : 1543
Inscrit : 30-May 06
Lieu : Vichy (03)
Membre no 10583



Bonjour,

Tu n'aurais pas modifié ton fichier includes/classes/shopping_cart.php des fois ?
As-tu bien ces 2 lignes dans les function remove et function add_cart ? :
Code
// assign a temporary unique ID to the order contents to prevent hack attempts during the checkout procedure
      $this->cartID = $this->generate_cart_id();


--------------------
Config 1 en live : Osc 2.2 très fortement modifié ... UTF-8 et Php 5.4.
Contribs installées : down_for_maintenance_v 2.3 | Estimated Shipping v1.5 | imprint_1_3_5 | low_stock_report_v2.04 | visible_countries_1.2b | Products Tabs | shoppingCart_cleanup_v1.01.0 | + trop de bidouilles persos pas très OsCommerce (erreurs de jeunesse)
Config 2 en local avec UwAmp : Osc Phoenix
Go to the top of the page
 
thiery
posté 22 May 2012, 08:47
Message #5


Ceinture orange+ OSC
Icône de groupe

Groupe : Membres
Messages : 308
Inscrit : 10-November 02
Membre no 574



bonjour Bonbec

je viens de contrôler j'ai
ligne 117 avec this->cartID = $this->generate_cart_id(); ligne 126
Citation
// insert into database
if (tep_session_is_registered('customer_id')) tep_db_query("insert into " . TABLE_CUSTOMERS_BASKET_ATTRIBUTES . " (customers_id, products_id, products_options_id, products_options_value_id) values ('" . (int)$customer_id . "', '" . tep_db_input($products_id_string) . "', '" . (int)$option . "', '" . (int)$value . "')");
}
}
}

$this->cleanup();

// assign a temporary unique ID to the order contents to prevent hack attempts during the checkout procedure
$this->cartID = $this->generate_cart_id();
}
}
}


et ligne 213 avec this->cartID = $this->generate_cart_id(); ligne 220
Citation
// remove from database
if (tep_session_is_registered('customer_id')) {
tep_db_query("delete from " . TABLE_CUSTOMERS_BASKET . " where customers_id = '" . (int)$customer_id . "' and products_id = '" . tep_db_input($products_id) . "'");
tep_db_query("delete from " . TABLE_CUSTOMERS_BASKET_ATTRIBUTES . " where customers_id = '" . (int)$customer_id . "' and products_id = '" . tep_db_input($products_id) . "'");
}

// assign a temporary unique ID to the order contents to prevent hack attempts during the checkout procedure
$this->cartID = $this->generate_cart_id();
}


merci
à bientôt thierry


--------------------
oscommerce 2.3.3.4 , ,easy_populate,Ultimate SEO,Discount Codes,Multiple Produit Manager,Multiorders,
phoenix 1.0.8.6
Go to the top of the page
 
chti_poupon
posté 22 May 2012, 14:49
Message #6


Ceinture noire OSC
Icône de groupe

Groupe : TechDev
Messages : 2757
Inscrit : 9-September 08
Lieu : Douai
Membre no 22915



Il y a aussi dans catalog/includes/application_top.php un certain nombre de contrôles que tu as bypassé en réglant sur false:
Code
// verify the ssl_session_id if the feature is enabled
   if ( ($request_type == 'SSL') && (SESSION_CHECK_SSL_SESSION_ID == 'true') && (ENABLE_SSL == true) && ($session_started == true) ) {
     $ssl_session_id = getenv('SSL_SESSION_ID');
     if (!tep_session_is_registered('SSL_SESSION_ID')) {
       $SESSION_SSL_ID = $ssl_session_id;
       tep_session_register('SESSION_SSL_ID');
     }

     if ($SESSION_SSL_ID != $ssl_session_id) {
       tep_session_destroy();
       tep_redirect(tep_href_link(FILENAME_SSL_CHECK));
     }
   }

// verify the browser user agent if the feature is enabled
   if (SESSION_CHECK_USER_AGENT == 'true') {
     $http_user_agent = getenv('HTTP_USER_AGENT');
     if (!tep_session_is_registered('SESSION_USER_AGENT')) {
       $SESSION_USER_AGENT = $http_user_agent;
       tep_session_register('SESSION_USER_AGENT');
     }

     if ($SESSION_USER_AGENT != $http_user_agent) {
       tep_session_destroy();
       tep_redirect(tep_href_link(FILENAME_LOGIN));
     }
   }

// verify the IP address if the feature is enabled
   if (SESSION_CHECK_IP_ADDRESS == 'true') {
     $ip_address = tep_get_ip_address();
     if (!tep_session_is_registered('SESSION_IP_ADDRESS')) {
       $SESSION_IP_ADDRESS = $ip_address;
       tep_session_register('SESSION_IP_ADDRESS');
     }

     if ($SESSION_IP_ADDRESS != $ip_address) {
       tep_session_destroy();
       tep_redirect(tep_href_link(FILENAME_LOGIN));
     }
   }

Sans cookie pour s'assurer que c'est bien la même machine, la cause pourrait être là.
Chti poupon
Go to the top of the page
 
thiery
posté 22 May 2012, 15:07
Message #7


Ceinture orange+ OSC
Icône de groupe

Groupe : Membres
Messages : 308
Inscrit : 10-November 02
Membre no 574



re bonjour
Mon application_top est identique sauf certains T de true que j'ai en majuscules et toi en minuscule
Je ne pense pas que cela change quelque chose mais je change en minuscule

// verify the ssl_session_id if the feature is enabled
if ( ($request_type == 'SSL') && (SESSION_CHECK_SSL_SESSION_ID == 'True') && (ENABLE_SSL == true) && ($session_started == true) ) {
$ssl_session_id = getenv('SSL_SESSION_ID');
if (!tep_session_is_registered('SSL_SESSION_ID')) {
$SESSION_SSL_ID = $ssl_session_id;
tep_session_register('SESSION_SSL_ID');
}

if ($SESSION_SSL_ID != $ssl_session_id) {
tep_session_destroy();
tep_redirect(tep_href_link(FILENAME_SSL_CHECK));
}
}

// verify the browser user agent if the feature is enabled
if (SESSION_CHECK_USER_AGENT == 'True') {
$http_user_agent = getenv('HTTP_USER_AGENT');
if (!tep_session_is_registered('SESSION_USER_AGENT')) {
$SESSION_USER_AGENT = $http_user_agent;
tep_session_register('SESSION_USER_AGENT');
}

if ($SESSION_USER_AGENT != $http_user_agent) {
tep_session_destroy();
tep_redirect(tep_href_link(FILENAME_LOGIN));
}
}

// verify the IP address if the feature is enabled
if (SESSION_CHECK_IP_ADDRESS == 'True') {
$ip_address = tep_get_ip_address();
if (!tep_session_is_registered('SESSION_IP_ADDRESS')) {
$SESSION_IP_ADDRESS = $ip_address;
tep_session_register('SESSION_IP_ADDRESS');
}

if ($SESSION_IP_ADDRESS != $ip_address) {
tep_session_destroy();
tep_redirect(tep_href_link(FILENAME_LOGIN));
}
}
encore merci pour l'aide, par contre c'est avec des payements via paypal, je n'ai pas vue dans le log de tentative d'achat via atos

thierry


--------------------
oscommerce 2.3.3.4 , ,easy_populate,Ultimate SEO,Discount Codes,Multiple Produit Manager,Multiorders,
phoenix 1.0.8.6
Go to the top of the page
 
chti_poupon
posté 22 May 2012, 18:46
Message #8


Ceinture noire OSC
Icône de groupe

Groupe : TechDev
Messages : 2757
Inscrit : 9-September 08
Lieu : Douai
Membre no 22915



Je ne comprends pas pourquoi tu parles atos ou paypal, je parle seulement de vérifier qu'on parle bien au même "client" (== couple machine-IP) d'une page à l'autre.
Tu peux (re)voir aussi ce post très détaillé de Gnidhal ici.
Pour les réglages de "Sessions", le décryptage est dans l'intercvention de celluloid ici.
Chti poupon
PS je pense qu'il y a des chances que tes réglages de "sessions" aient favorisé cet escroc
Go to the top of the page
 
thiery
posté 22 May 2012, 19:38
Message #9


Ceinture orange+ OSC
Icône de groupe

Groupe : Membres
Messages : 308
Inscrit : 10-November 02
Membre no 574



merci
je contrôle le site pour arriver à trouver,
quand je reprend les logs, la 1er fois il a réussi en 1 heure, la 3éme il a mis quand même 6h !
pour atos et paypal j'ai indiqué comme ça au cas ou
encore merci
à bientôt thierry


--------------------
oscommerce 2.3.3.4 , ,easy_populate,Ultimate SEO,Discount Codes,Multiple Produit Manager,Multiorders,
phoenix 1.0.8.6
Go to the top of the page
 
Gnidhal
posté 22 May 2012, 20:45
Message #10


5eme dan OSC
Icône de groupe

Groupe : Administrateur
Messages : 9221
Inscrit : 4-March 03
Lieu : Pau
Membre no 927



Vérifie l'installation de ta contrib Paypal et refais tout pas à pas.
Ce procédé de double commande sur un même compte en parallèle ne peut valider une commande dont le montant ne serait pas bon car les id de session ne sont pas identiques. Par ailleurs les montants sont vérifiés lors de la validation par Paypal.
Et même si, le fait de procéder de la sorte pour un client est répréhensible et peut être puni par la loi : c'est simplement du vol par un procédé de piratage.
Donc tu peux porter plainte contre le malfaisant car il y a clairement escroquerie. Comme tu as ses coordonnées c'est normalement facile : 1 plainte auprès de Paypal (là il va se faire marquer en rouge) et renseigne-toi plus avant auprès des services concernés (recherche via GG) une plainte auprès des services publiques pour fraude. Une piste : https://www.internet-signalement.gouv.fr/Po...nsUtiles.action
Il est important de faire valoir tes droits.
Par ailleurs, j'ai supprimé tes logs qui ne présentent guère d'intérêt pour le débug mais pourraient donner des idées à quelques apprentis hackers à qui le coté "sportif" pourrait plaire. Ne les livre donc que sur demande expresse à un membre identifié ici.

Et attention à la syntaxe :
en booléen true = True = TRUE... insensible à la casse.
Mais en type chaine 'true' != 'True'
vérifie que les valeurs de ces define (dans la table configuration) sont bien enregistrés à l'identique.
Malheureusement il s'agit de valeurs chaine et non de booléens.


--------------------
Tout d'abord : - Ni Hotline ni Service Après Vente, ces forums sont un lieu d'échange. BIEN POSER SA QUESTION (généralités)
Les "Informations Importantes" que vous devez ABSOLUMENT avoir lues :
Règlement, Bien poser sa question dans ces forums et Bien utiliser les Forums.
Les raccourcis pour gagner du temps : la FAQ, les PDF de la Doc (MS2-fr): PDF-V1 et PDF-V2, le moteur de Recherche sur les forums , la Liste des Contributions de Corbin.

----------------------------- Quelques sites de référence ---------------------------
PHP: Le site du Zéro et PHP Débutant avec la DOC en français -- HTML: Self HTML - WebProgrammation -- CSS: OpenWeb - AlsaCréations - CSS/Edge -- Autres ressources: - XajaX - highslide js
Les bons outils : EasyPHP - WAMP-5 - - Notepad++ - Firefox et son extension WebDeveloper
Le gène idéal c'est le gène original. Le génie des halles est un Génie des Alpages qui tente d'être à la page. (Merci f'murrr pour les cours de philosophie de chien)
Go to the top of the page
 
thiery
posté 22 May 2012, 22:00
Message #11


Ceinture orange+ OSC
Icône de groupe

Groupe : Membres
Messages : 308
Inscrit : 10-November 02
Membre no 574



Bonsoir Gnidhal
Merci pour les informations
Je fais les modifications

Pour la plainte je crois que je ne vais pas en avoir besoins, j'ai normalement un chèque des parents qui arrive demain, la complicité de vol ,les parents ne semble pas avoir aimé

J'ai quand même envoyé des mails au FAI pour signaler le piratage, ainsi qu'a paypal

encore merci
à bientôt thierry


--------------------
oscommerce 2.3.3.4 , ,easy_populate,Ultimate SEO,Discount Codes,Multiple Produit Manager,Multiorders,
phoenix 1.0.8.6
Go to the top of the page
 

Reply to this topicStart new topic
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :

 



RSS Version bas débit Nous sommes le : 28th March 2024 - 22:48
Ce site est déclaré auprès de la commision Nationale
de l'Informatique et des Libertés (déclaration n°: 1043896)