vulnerabilidad en tienda online

rompeguesos · #1 (**permalink**) 17/12/2009, 08:41

hola amigos ando preparando una tienda online y e visto que el codigo fuente me muestra los campos hidden, con eso es posible que me realicen un pedido de forma engañosa? el codigo fuente muestra esto:

Código HTML:

<br /><center><div style="border: 1px solid rgb(204, 204, 170); padding: 15px; background-color: rgb(255, 255, 221); width: 600px; font-size: 14px;"><center><table><tr><td style='font-family:Trebuchet MS;font-size:11pt;'><b>Pague de forma segura</b> con su tarjeta de cr&eacute;dito o d&eacute;bito pulsando <strong><a href="javascript:ir_a_sis4b();">aqu&iacute;</a></strong></td></tr></table><a href="javascript:ir_a_sis4b();"><img src="./img/visa.gif" border=0 alt="Pague su pedido pulsando aqui"></a></center></div></center><form name=compra action=https://sis.sermepa.es/sis/realizarPago method=post target=tpv>
<input type='hidden' name='Ds_Merchant_Amount'            value='27100'>
<input type='hidden' name='Ds_Merchant_ConsumerLanguage'  value='1'>
<input type='hidden' name='Ds_Merchant_UrlOK'             value='http://www.miweb.es/SIS_TPV/pagosOK.php'>
<input type='hidden' name='Ds_Merchant_UrlKO'             value='http://www.miweb.es/SIS_TPV/pagosKO.php'>

<input type='hidden' name='Ds_Merchant_MerchantData'      value='CLIENTE: - PEDIDO: 044054'>
<input type='hidden' name='Ds_Merchant_Currency'          value='978'>
<input type='hidden' name='Ds_Merchant_Order'             value='1916_0044054'>
<input type='hidden' name='Ds_Merchant_MerchantCode'      value='266875616'>
<input type='hidden' name='Ds_Merchant_Terminal'          value='3'>
<input type='hidden' name='Ds_Merchant_TransactionType'   value='0'>
<input type='hidden' name='Ds_Merchant_MerchantURL'       value='http://www.miweb.es/SIS_TPV/actualizapago.php'><input type='hidden' name='Ds_Merchant_MerchantSignature' value='C98AD689035ADBF8D9F2F5F41EC86667B270BD04'>
</form><script language="JavaScript">
<!--
function ir_a_sis4b() {
   vent=window.open("","tpv","width=725,height=600,scrollbars=no,resizable=yes,status=yes,menubar=no,location=no");
   document.forms.tpv4b.submit();
   window.location = "./index.php";
}
function no_ir_a_sis4b(){
	alert('Por motivos técnicos esta forma de pago está temporalmente desactivada, puede realizar su pago con tarjeta a traves de PAYPAL haciendo click en PAYPAL, pulse aqui para pagar y posteriormente en el apartado ¿No dispone de una cuenta PayPal?  situado en la parte la izquierda, abajo.  Gracias por su compra y disculpe las molestias');
}
//-->
</script>
<br /><center><div style="border: 1px solid rgb(204, 204, 170); padding: 15px; background-color: rgb(255, 255, 221); width: 600px; font-size: 14px;"><center><table><tr><td style='font-family:Trebuchet MS;font-size:11pt;'><b>Pague de forma segura</b> con su tarjeta de cr&eacute;dito o d&eacute;bito pulsando <strong><a href="javascript:ir_a_sis4b();">aqu&iacute;</a></strong></td></tr></table><a href="javascript:ir_a_sis4b();"><img src="./img/telepago4b.JPG" border=0 alt="Pague su pedido pulsando aqui"></a></center></div></center><form id='tpv4b' name=tpv4b action=https://tpv.4b.es/tpvv/teargral.exe method=post target=tpv>
<input type='hidden' name='order' 						value='044054'>

<input type='hidden' name='Clave_Com'						value='PI00011378'>
</form>

jackson666 · #2 (**permalink**) 17/12/2009, 08:57

Ponete esto en el body

<body oncontextmenu="return false" onkeydown="return false">

Bah, aunq no es del todo fiable, solo sacarias la posibilidad de hacer click derecho->ver codigo fuente, pero yendo al menu->ver codigo fuente se ve =P

EDIT:

Buscando encontre que no se puede esconder 100%
- http://www.forosdelweb.com/f91/como-...pagina-619892/

rompeguesos · #3 (**permalink**) 17/12/2009, 09:02

pero con el codigo ese que se muestra podrian hacerme una compra "falsa"? en caso de que si me podriais explicar como me lo harian? alomejor sabiendo como me lo pueden hacer puedo poner alguna seguridad adicional.

Saludos.

jackson666 · #4 (**permalink**) 17/12/2009, 09:09

La verdad no se me ocurre alguna trampa que te puedan hacer... no se si la hay. Al no tener acceso al campo oculto, no se puede modificar. Como podrian hacerte una trampa sin acceso a los datos?

rompeguesos · #5 (**permalink**) 17/12/2009, 09:14

ah no se... por eso pregunto.... entonces puedo estar tranquilo? :D

jackson666 · #6 (**permalink**) 17/12/2009, 09:17

Siiiii jajaja no pasa nada, cuando la tengas lista avisame a ver q se me ocurre para robarte algo de plata =P

rompeguesos · #7 (**permalink**) 17/12/2009, 09:25

jajaja ok ok :D