Tema: vulnerabilidad en tienda online
Ver Mensaje Individual
  #1 (permalink)  
Antiguo 17/12/2009, 08:41
Avatar de rompeguesos
rompeguesos
 
Fecha de Ingreso: marzo-2009
Mensajes: 692
Antigüedad: 15 años, 11 meses
Puntos: 8
Información vulnerabilidad en tienda online
hola amigos ando preparando una tienda online y e visto que el codigo fuente me muestra los campos hidden, con eso es posible que me realicen un pedido de forma engañosa? el codigo fuente muestra esto:

Código HTML:
<br /><center><div style="border: 1px solid rgb(204, 204, 170); padding: 15px; background-color: rgb(255, 255, 221); width: 600px; font-size: 14px;"><center><table><tr><td style='font-family:Trebuchet MS;font-size:11pt;'><b>Pague de forma segura</b> con su tarjeta de cr&eacute;dito o d&eacute;bito pulsando <strong><a href="javascript:ir_a_sis4b();">aqu&iacute;</a></strong></td></tr></table><a href="javascript:ir_a_sis4b();"><img src="./img/visa.gif" border=0 alt="Pague su pedido pulsando aqui"></a></center></div></center><form name=compra action=https://sis.sermepa.es/sis/realizarPago method=post target=tpv>
<input type='hidden' name='Ds_Merchant_Amount'            value='27100'>
<input type='hidden' name='Ds_Merchant_ConsumerLanguage'  value='1'>
<input type='hidden' name='Ds_Merchant_UrlOK'             value='http://www.miweb.es/SIS_TPV/pagosOK.php'>
<input type='hidden' name='Ds_Merchant_UrlKO'             value='http://www.miweb.es/SIS_TPV/pagosKO.php'>

<input type='hidden' name='Ds_Merchant_MerchantData'      value='CLIENTE: - PEDIDO: 044054'>
<input type='hidden' name='Ds_Merchant_Currency'          value='978'>
<input type='hidden' name='Ds_Merchant_Order'             value='1916_0044054'>
<input type='hidden' name='Ds_Merchant_MerchantCode'      value='266875616'>
<input type='hidden' name='Ds_Merchant_Terminal'          value='3'>
<input type='hidden' name='Ds_Merchant_TransactionType'   value='0'>
<input type='hidden' name='Ds_Merchant_MerchantURL'       value='http://www.miweb.es/SIS_TPV/actualizapago.php'><input type='hidden' name='Ds_Merchant_MerchantSignature' value='C98AD689035ADBF8D9F2F5F41EC86667B270BD04'>
</form><script language="JavaScript">
<!--
function ir_a_sis4b() {
   vent=window.open("","tpv","width=725,height=600,scrollbars=no,resizable=yes,status=yes,menubar=no,location=no");
   document.forms.tpv4b.submit();
   window.location = "./index.php";
}
function no_ir_a_sis4b(){
	alert('Por motivos técnicos esta forma de pago está temporalmente desactivada, puede realizar su pago con tarjeta a traves de PAYPAL haciendo click en PAYPAL, pulse aqui para pagar y posteriormente en el apartado ¿No dispone de una cuenta PayPal?  situado en la parte la izquierda, abajo.  Gracias por su compra y disculpe las molestias');
}
//-->
</script>
<br /><center><div style="border: 1px solid rgb(204, 204, 170); padding: 15px; background-color: rgb(255, 255, 221); width: 600px; font-size: 14px;"><center><table><tr><td style='font-family:Trebuchet MS;font-size:11pt;'><b>Pague de forma segura</b> con su tarjeta de cr&eacute;dito o d&eacute;bito pulsando <strong><a href="javascript:ir_a_sis4b();">aqu&iacute;</a></strong></td></tr></table><a href="javascript:ir_a_sis4b();"><img src="./img/telepago4b.JPG" border=0 alt="Pague su pedido pulsando aqui"></a></center></div></center><form id='tpv4b' name=tpv4b action=https://tpv.4b.es/tpvv/teargral.exe method=post target=tpv>
<input type='hidden' name='order' 						value='044054'>

<input type='hidden' name='Clave_Com'						value='PI00011378'>
</form>