Neueste Nachrichten (in Englisch): (am laden..)

Archiviert

Dieses Theme ist nun archiviert und für weitere Antworten gesperrt.

Henri Schmidhuber

security: ipayment

105 Beiträge in diesem Thema

Die ct veröffentlich bald nen Artikel über ein Sicherheitsproblem im ipayment Modul (der aber auch andere Zahlungsweisen treffen kann)

http://www.heise.de/newsticker/meldung/104135

das neue ipayment Modul (von mir) gibts hier:

http://addons.oscommerce.com/info/5775

Kurze Einschätzung der Lücke meinerseits: Leute die den Zahlungseingang noch zusätzlich manuell überprüfen, dürften bei einem versuchten "Hack" Bestellungen ohne Geldeingang feststellen.

Bei automatisierten Ablaufprozessen ist das aber ein schwerwiegender Fehler.

Update ist aber auch wegen der anderen Features sehr empfehlenswert. (z.B. PCI konform)

Der Fehler kannn natürlich auch auf andere Zahlungsmodule zutreffen.

und für Support hier::

Anleitung 2* komplett lesen!

immer erwähnen um welche osC Version es geht

Grüße

Henri

offizielle ipayment Ankündigung:

Sehr geehrter ipayment-Händler,

Sie erhalten diese E-Mail, weil Sie angegeben haben, dass Sie Ihren

ipayment-Account mit dem Shopsystem "osCommerce" nutzen.

Für das ipayment-Zahlungsmodul für osCommerce steht ein wichtiges

Sicherheits-Update zur Verfügung. Durch dieses Update werden

Manipulationsversuche bei der Bestellverarbeitung in osCommerce

verhindert. Zusätzlich wurde das Modul für Kreditkarten-Zahlungen so

angepasst, dass alle Anforderungen des PCI DSS (Payment Card Industry

Data Security Standard) erfüllt werden und Sie als Händler keine

Sicherheitszertifizierung mehr benötigen. Weitere Informationen zur

sicheren Zahlungsabwicklung und zu den Anforderungen des PCI DSS finden

Sie unter http://www.1und1.info/xml/order/WpIpaymentSicherheit#3.

Zusätzlich wurde ein neues Modul entwickelt, mit dem Sie nun auch über

osCommerce unter Einsatz von ipayment Zahlungen per Bankeinzug anbieten

können. Darüber hinaus wurden die Konfigurationsmöglichkeiten der

einzelnen Module erweitert.

Das Update mit den aktualisierten Modulen für Kreditkarten-Zahlungen

und Bankeinzug steht Ihnen auf der osCommerce-Website zum Download zur

Verfügung: http://addons.oscommerce.com/info/5775

Bitte nehmen Sie die Installation umgehend vor, eine umfangreiche

Installations- und Konfigurationsanleitung ist in der

ZIP-Datei enthalten.

Falls Sie Ihren Shop nicht selbst betreuen, wenden Sie sich bitte

an den für Ihren Shop verantwortlichen Programmierer.

Die Module sind kompatibel zu den aktuellen osCommerce-Version 2.2 MS2,

2.2 RC1 und 2.2 RC2. Falls Sie osCommerce in einer älteren Version

einsetzen, finden Sie in den osCommerce-Foren Unterstützung.

Mit freundlichen Grüßen

Ihr ipayment-Team

https://ipayment.de

1&1 Internet AG

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hi Henri,

danke fürs Patchen des Moduls. Wollte es heute auch direkt testen und einbauen. Leider kommt es aber zu einem Fehler. Nachdem ich eine Kreditkartennummer mit zugehöriger cvs und Datum eingegeben habe und auf "Bestellen" klicke, lande ich wieder auf der Seite zum auswählen der Zahlungsmöglichkeiten mit der Fehlermeldung "Die angegebene Kreditkartennummer ist fehlerhaft.". Ist da was bekannt woran das liegen könnte? (Testnummern gehen auch nicht, und die Karten welche ich zum Testen nutzte sind auf jedenfall aktiv.)

Edit: Verwendetes oSC ist ein 2.2 MS2 gepatchte Urversion

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Hi Henri,

danke fürs Patchen des Moduls. Wollte es heute auch direkt testen und einbauen. Leider kommt es aber zu einem Fehler. Nachdem ich eine Kreditkartennummer mit zugehöriger cvs und Datum eingegeben habe und auf "Bestellen" klicke, lande ich wieder auf der Seite zum auswählen der Zahlungsmöglichkeiten mit der Fehlermeldung "Die angegebene Kreditkartennummer ist fehlerhaft.". Ist da was bekannt woran das liegen könnte? (Testnummern gehen auch nicht, und die Karten welche ich zum Testen nutzte sind auf jedenfall aktiv.)

Edit: Verwendetes oSC ist ein 2.2 MS2 gepatchte Urversion

Habe genau das gleiche Problem, wenn jemand eine Lösung hat bitte posten.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

die änderungen in der checkout_Confirmation habt ihr eingebaut?

ms2 braucht das teilweise.

Ansonsten bei dem Problem mal mich direkt kontaktieren...

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
die änderungen in der checkout_Confirmation habt ihr eingebaut?

ms2 braucht das teilweise.

Ansonsten bei dem Problem mal mich direkt kontaktieren...

Also ich habe den Fehler gefunden.

In der checkout_confirmation ging das form früher zu als die Kreditkarten inputs waren.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

;)

Hmm, das wäre mir neu. Wohl ne MS2 Variante die ich noch net gesehen habe

Was sein kannt ist das die Inputs for dem form auf tag kommen. Das steht aber in der Anleitung.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Neues Problem mit dem neuen Modul.

Im Modul ipayment_cc.php sind die Objekte $GLOBALS[$class]->output nur leere Arrays().

ot_subtotal

Array

(

)

ot_lev_discount

Array

(

)

ot_shipping

Array

(

)

ot_cod_fee

Array

(

)

ot_tax

Array

(

)

ot_gv

Array

(

)

ot_coupon

Array

(

)

ot_total

Array

(

)

$order_totals = array();

if (is_array($order_total_modules->modules)) {

reset($order_total_modules->modules);

while (list(, $value) = each($order_total_modules->modules)) {

$class = substr($value, 0, strrpos($value, '.'));

if ($GLOBALS[$class]->enabled) {

for ($i=0, $n=sizeof($GLOBALS[$class]->output); $i<$n; $i++) {

if (tep_not_null($GLOBALS[$class]->output[$i]['title']) && tep_not_null($GLOBALS[$class]->output[$i]['text'])) {

$order_totals[] = array('code' => $GLOBALS[$class]->code,

'title' => $GLOBALS[$class]->output[$i]['title'],

'text' => $GLOBALS[$class]->output[$i]['text'],

'value' => $GLOBALS[$class]->output[$i]['value'],

'sort_order' => $GLOBALS[$class]->sort_order);

}

}

}

}

}

Hat jemand bitte einen Tipp?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

ist die $order_total_modules->process() in der checkout_confirmation an der richtigen stelle?

Also ziemlich oben:

require(DIR_WS_CLASSES . 'order_total.php');

$order_total_modules = new order_total;

$order_total_modules->process();

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
ist die $order_total_modules->process() in der checkout_confirmation an der richtigen stelle?

Also ziemlich oben:

require(DIR_WS_CLASSES . 'order_total.php');

$order_total_modules = new order_total;

$order_total_modules->process();

Danke das war der Fehler.

Die process() Funktion wurde sehr weit unten aufgerufen.

Übrigens ich habe das Projekt nur übernommen. :blink:

Aber nun ein nächstes Problem.

Anscheinend wird der Trigger (hidden_trigger_cc.php) nicht aufgerufen, denn die Bestellungen bekommen nur den Status "ipayment in Vorbereitung" statt "Zahlung erhalten".

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
ANLEITUNG LESEN!

steht doch alles drinnen. Warum schreib ich das denn...

So funktioniert.

Danke für deine Hilfe und Geduld.

Übrigens es lag nicht am Trigger sondern an der Firewall auf dem Server die den Trigger geblockt hat.

Kleiner Hinweis zu deiner Anleitung.

Schreib mal bitte noch den Tipp mit der Firewall rein und bei dem Problem mit den Order Totals das einfach die Tabelle (orders_total) leer bleibt.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hallo,

ich bekomme beim neuen Modul diese Meldung wenn ich eine Kartenzahlung durchführen will:

<IPAYMENT VERSION="2.0" INOUT="OUT">
<ORDER ORDER_ID="1">
<TRANSACTION_RESULT TRANSACTION_ID="1" STATUS="ERROR">
<ERRORCODE>
2001
</ERRORCODE>
<ERRORTEXT>
Die angegebene Benutzerkennung ist fehlerhaft oder der Benutzer ist gesperrt.
</ERRORTEXT>
<ERRORTEXT_ADD>
TRX_USER tag missing
</ERRORTEXT_ADD>
</TRANSACTION_RESULT>
</ORDER>
</IPAYMENT>

Die Kennung ist ok und nicht gesperrt ... woran kann das liegen ?

MfG Klaus

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

TRX_USER tag missing

Klingt als ob kein User an Ipayment übergeben wird.

(überprüfen in der chckout_Condirmation anhand des Sources, da sollte hidden input feld mit trxuser_id sein.)

-> admin Modul einstellen...

(sehr unrealistisch: Änderungen in der checkout_confirmation wurden nicht durchgeführt)

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hallo,

ja so isses ... ich habe einfach im Editor mal nach 'trxuser_id' gesucht, ist da gar nicht drin in der checkout_confirmation.php

Bei mir läuft diese Version:

$Id: checkout_confirmation.php,v 1.139 2003/06/11 17:34:53 hpdl Exp $

Wo und wie genau muss ich das einfügen ? Oder sollte ich die checkout... ganz tauschen, ist ja schon recht alt !?!?

MfG Klaus

PS: Ich würde die checkout... ungern komplett tauschen gegen eine neuere, da ich div. Contribs eingebaut habe, u.a. die Gutschein Contrib usw. ....

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hmm,

das klingt danach als ob die Zeile

echo $payment_modules->process_button();

fehlt, oder nicht aufgerufen wird.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hallo,

habs gerade mal geprüft: Richtig ! Das ist auskommentiert bei mir ... und zwar sieht das so aus:

 /*  if (is_array($payment_modules->modules)) {
echo $payment_modules->process_button();
}
*/

Ich habs jetzt geändert und zwar so:

  if (is_array($payment_modules->modules)) {
echo $payment_modules->process_button();
}

Jetzt wird die Zahlung korrekt ausgeführt, aber ... es kommt eine leere Seite, es wird also nicht auf die Bestätigungsseite weitergeleitet und es wird keine Bestätigungsmail an den Kunden geschickt ... muss ich das evt. bei ipayment einstellen, das ein redirect gemacht werden soll nach Zahlung !?!?!?

MfG Klaus

Edit: Der bestellstatus im Shop steht auf: ipayment Vorbereitung

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

;)

hmm die redirect sachen stehen auch hidden drinnen:

Weiterleitung nach Zahlung:

tep_draw_hidden_field('redirect_url', tep_href_link('ext/modules/payment/ipayment/process.php', '', 'SSL', true)) .

Weiterleitung bei Fehler:

tep_draw_hidden_field('silent_error_url', tep_href_link(FILENAME_CHECKOUT_PAYMENT, 'payment_error=' . $this->code, 'SSL', true)) .

Shopbenachrichtigung:

tep_draw_hidden_field('hidden_trigger_url', tep_href_link('ext/modules/payment/ipayment/hidden_trigger_cc.php','' ,'SSL', false, false)) .

überprüf die URL, oder ob die Scripte da sind.

Evtl wie oben nen Firewall Problem...

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

die Scripte sind da unter /ext/....aber in der checkout_confirmation sind diese 3 'tep_draw_hidden_field ....' Zeilen gar nicht drin, auch nicht auskommentiert .......

Ich kopier Dir mal die checkout... hier rein, vielleicht kannst Du sehen wo es hängt ...

 Code gelöscht da unnötig;) Henri

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

im source seh ich in der schnelle nur das du ein form zuviel hast..

echo tep_draw_form('checkout_confirmation', $form_action_url, 'post');

die hidden fields kommen vom modul. Musst also im Browser auf der seite in den sourcecode gucken...

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
im source seh ich in der schnelle nur das du ein form zuviel hast..

echo tep_draw_form('checkout_confirmation', $form_action_url, 'post');

Das Zweite ist auskommentiert ...

die hidden fields kommen vom modul. Musst also im Browser auf der seite in den sourcecode gucken...

Ahja ok ... jetzt hab ich den Fehler ... das lag am Seo-G, das hat die URLs auf *.html umgeschrieben ... alles klar, jetzt klappt es soweit !

Ich danke Dir für Deine Hilfe !

MfG Klaus

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hallo Zusammen,

kann mir jemand von euch erklären was Seo-G ist?

Ich habe auch das Problem das ich nach Zahlung mit der Kreditkarte auf eine leere Seite komme.

Gruß

Mike

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

SEO Urls sind suchmaschinefreundliche URLs.

Das kann natürlich Probleme machen, wenn irgendwelche weiterleitungsURLs, benachrichtigungsURLs und so nicht gehen.

-> liegt aber dann an der SEO implementierung und nicht am Modul...

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ich habe die SEO im Shop ausgeschalten jedoch wird die seite noch immer nicht gefunden.

Objekt nicht gefunden!

Der angeforderte URL konnte auf dem Server nicht gefunden werden. Der Link auf der verweisenden Seite scheint falsch oder nicht mehr aktuell zu sein. Bitte informieren Sie den Autor dieser Seite über den Fehler.

URL die aufgerufen werden sollte:

ttps://www.dh-parts.de/ext/modules/payment/ipayment/process.php

Kann mir jemand helfen?

Version meines Shops: osCommerce 2.2-MS2

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Sieht ds aus als ob die files unter /ext nicht hochgeladen wurden...

Überprüf das mal..

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen