Комментарии 97
Сотрудник банка мог и не знать что апостроф нельзя вписывать, это програмер должен был проверять ещё на этапе внесения, а потом на этапе проверки карты
Это был сарказм :)
да там много чего…
habrahabr.ru/sandbox/18209/
habrahabr.ru/sandbox/18209/
Хороший надёжный банк, нечего сказать…
PS: а что это вы лого замазали, а ссылка в ошибке оригинальная осталась ;)
PS: а что это вы лого замазали, а ссылка в ошибке оригинальная осталась ;)
Осталось дождаться сообщения типа:
Если вы увидите ошибку, начинающуюся на «You have an error in your SQL syntax...», пожалуйста, вернитесь на шаг назад и удалите кавычки из полей ввода.под картинкой «Verified by Visa».
А какой смысл что-то удалять кавычки, если после этого карта не пройдет верификацию? Не просто же так просят имя указывать. :)
предыдущий автор был не прав, нужно сообщение: замените апостров на двойной! и не пробуйте использовать никаких sql инъекций.
У меня две карты, на одной написано имя ALEXANDER, на другой ALEXANDR (не трудно догадаться, какая из них делалась в России), так вот, я забыл, что на одной карте имя написано без буквы E, и написал с буквой E — прокатило.
Имя, как правило, при верификации не учитывается.
большей части банков наплевать на содержимое поля CardHolder Name
хм, помоему поле с которым возникли проблемы несущественно. часто его просят просто для галочки, чтоб было.
про всякие «верифаед бай..», не будьте таким наивным — виза ни сном ни духом про этот сервис/страницу не знает, просто скапали гдето картинку вставили себе и вуаля.
ЗЫ мне тут расказывали мои братья по прогцеху. вобщем работали они раньше в альфабанке, и был с ними товарищ, так вот этот товарищ, пока в тз небыло четкой формулировке, что и как должно работать, просто хардкодил те функции. а так как он все задачи сдавал вовремя, то и претензий к нему небыло, ну и не рефакторил его код пока никто, а потом он получил повышение и сам должен был рефакторить…
вобщем после этой вакханалии много было мата сказано…
про всякие «верифаед бай..», не будьте таким наивным — виза ни сном ни духом про этот сервис/страницу не знает, просто скапали гдето картинку вставили себе и вуаля.
ЗЫ мне тут расказывали мои братья по прогцеху. вобщем работали они раньше в альфабанке, и был с ними товарищ, так вот этот товарищ, пока в тз небыло четкой формулировке, что и как должно работать, просто хардкодил те функции. а так как он все задачи сдавал вовремя, то и претензий к нему небыло, ну и не рефакторил его код пока никто, а потом он получил повышение и сам должен был рефакторить…
вобщем после этой вакханалии много было мата сказано…
Вообще-то у всех кредитных карт существуют договора и правила по поводу «вставить картинку» и тем более по поводу хранения данных. Например, CVC код хранить в базе нельзя. За нарушения они штрафуют и могут отказать в сервисе вообще. Нам специальные курсы устраивали в свое время (в штатах было), правда, давно это было.
НЛО прилетело и опубликовало эту надпись здесь
По секрету, в pci dss возможно не полное соответствие стандарту, а частичное. Получить замечания и action plan, типа работаем над устранением. Однако с сентября 2010 года Visa требует полное соответствие, иначе будут штрафы. Но мне почему-то кажется что банкам проще будет их платить, поскольку полное соответствие ofi dss дорого и не так просто. В случае полного соответствия такого рода ошибок не должно быть.
И это безопасность банка? Шокирован такой безопасностью.
неповезло вам с этой картой :)
а это единственный случай таких косяков?
а это единственный случай таких косяков?
я бы комикс в КДПВ поставил :)
А какие данные они сохраняют, в БД, интересно? У вас теперь доступ есть, посмотреть можно )
— Здравствуйте! Разрешите предложить Вам наш новый «карточный продукт»… блаблабла… бонусные баллы… блаблабла… скидки… блаблабла… крупнейшие отели… блаблабла… только вот на сайтах надо будет вводить без пробелов и апострофов…
— До свидания!
— До свидания!
Если уж замазываете логотип, то замазывайте до конца, — банк определяется с первого взгляда на незакрашенный кусок.
НЛО прилетело и опубликовало эту надпись здесь
Оффтоп
У Utel (УралСвязьИнформ) тоже есть возможность вносить платежи с помощью банковских карты. Но, зайдя в кабинет на сайте провайдера, указав сумму платежа, открывается страница процессинга. Если интернет не оплачен, то все. Платеж не совершить. Вот такая мелкая пакость (возможно уже устранили)
У Utel (УралСвязьИнформ) тоже есть возможность вносить платежи с помощью банковских карты. Но, зайдя в кабинет на сайте провайдера, указав сумму платежа, открывается страница процессинга. Если интернет не оплачен, то все. Платеж не совершить. Вот такая мелкая пакость (возможно уже устранили)
Да и у Билайна какая же штука.
У скайлинка похоже: доступ к процессингу с нулевым балансом есть, но по MasterCard SecureCode на сайт банка не пускает. Поддержка после месяца раздумий ответила что-то вроде «используйте карту без SecureCode».
Скорее всего эту ошибку выдает сайт мерчанта а не сайт банка. Кроме того мерчантам запрещено сохранять информацию такую как номер карты и другие ее реквизиты (исключение составляет четыре последние цифры номера карты). Так что даже если эти данные будут украдены — пользы от этого никакой.
Автор, надеюсь, это не ваш CVC2 засвечен в топике :-)
Интересно, как у вашего провайдера будет осуществляться оплата заблокированного интернета при условии поддержки картой VbV? При заблокированном аккаунте можно выпустить клиента в собственную сеть (личный кабинет), в подсеть банка-эквайера (платежный шлюз). Но если карта поддерживает VbV или MC SC, то процессинг переадресует держателя карты на специальную страницу на сайте банка-эмитента карты, а туда провайдер неблокируемого доступа может и не предоставить… Не включать же в список сайты всех банков?
Verified by Visa не означает что банк «прошел проверку в Visa», это означает что авторизация транзакций проводится с использованием 3D-secure.Печально что такая ошибка возникает и нет проверки. Не уверен что здесь возможен SQL-injection, проверить нет желания, ибо могут расценить как попытку взлома, пусть даже в благих целях. Завтра напишу в процессинг банка, пусть правят.
Если на картинке ваш реальный номер карточки и реальный код безопасности — ждите неожиданных транзакций
Особенно master card secure code — 3ds в мастер карде
Я так понимаю, номер карты и CVC2 фиктивные?
Судя по тому что сейчас их не видно и не понятно о чем вы — были валидные :)
НЛО прилетело и опубликовало эту надпись здесь
Что за контрольная сумма? Расскажите, пожалуйста.
Номера платёжных пластиковых карт формируются особым образом.
Первая цифра указывает платёжную систему:
3 — American Express
4 — VISA
5 — MasterCard
6 — Maestro
Далее номер, указывающий конкретный банк, уникальный идентификатор карты внутри этого банка и т.д.
И последняя цифра номера карты — это контрольная сумма, т.е. эта цифра получается по особому заранее известному алгоритму из всех предыдущих цифр номера карты. Используется это для проверки правильности ввода. Т.е. в системах, где требуется ручной ввод номера карты (например, в платёжных системах в интернет-магазинах) можно сразу при вводе посчитать контрольную сумму введённого номера по известному алгоритму и сравнить с последней цифрой номера. Если совпало — номер введён верно, если не совпало, то значит пользователь в какой-то цифре при вводе ошибся, тогда ему выводится соответствующее уведомление, чтобы он перепроверил и исправил введённый номер ещё до отправки его в платёжную систему.
Первая цифра указывает платёжную систему:
3 — American Express
4 — VISA
5 — MasterCard
6 — Maestro
Далее номер, указывающий конкретный банк, уникальный идентификатор карты внутри этого банка и т.д.
И последняя цифра номера карты — это контрольная сумма, т.е. эта цифра получается по особому заранее известному алгоритму из всех предыдущих цифр номера карты. Используется это для проверки правильности ввода. Т.е. в системах, где требуется ручной ввод номера карты (например, в платёжных системах в интернет-магазинах) можно сразу при вводе посчитать контрольную сумму введённого номера по известному алгоритму и сравнить с последней цифрой номера. Если совпало — номер введён верно, если не совпало, то значит пользователь в какой-то цифре при вводе ошибся, тогда ему выводится соответствующее уведомление, чтобы он перепроверил и исправил введённый номер ещё до отправки его в платёжную систему.
Алгоритмы с контрольным числом, которое помещается в сам номер, используются во многих местах: Банковские арты, ИНН, ОКПО, штрих-коды, номер пенсионного страхования, социальная карта, идентификатор ценных бумаг и др.
ru.wikipedia.org/wiki/Контрольное_число
ru.wikipedia.org/wiki/Контрольное_число
Имя вписываемое в holder's name вообще-то должны были предоставить для проверки в форме и потом еще просят проверить при выдаче карты… ну по крайней мере в нормальных банках.
Программисты они такие бывают. После «без пробелов», можно ожидать все что угодно :)
Ну и напоследок, данные о совершенной транзакции надо куда-то фиксировать. Номер карты или CVV2 конечно нехорошо созранять, но почему бы не сохранить и фамилию плательщика.
Программисты они такие бывают. После «без пробелов», можно ожидать все что угодно :)
Ну и напоследок, данные о совершенной транзакции надо куда-то фиксировать. Номер карты или CVV2 конечно нехорошо созранять, но почему бы не сохранить и фамилию плательщика.
1) Введите имя без апострофа, по-идее банк не проверяет эту информацию.
2) Verified by Visa подразумевает редирект на сайт вашего банка, где вы будете должны подтвердить транзакцию. Банк, естественно, должен поддерживать соответствиующий протокол, 3D Secure.
2) Verified by Visa подразумевает редирект на сайт вашего банка, где вы будете должны подтвердить транзакцию. Банк, естественно, должен поддерживать соответствиующий протокол, 3D Secure.
Знаю я этого провайдера, сам на нём сижу. У них ещё и в инструкции к оплате через личный кабинет Qiwi неправильная информация и неправильный скриншот (там говорится нажать Оплатить, хотя на скриншоте такой кнопки вообще нет). Вообще, у них почти вся последовательность оплаты неправильна (либо неполная), вот и получается, что обычный пользователь попробует, плюнет и решит в будущем (и сейчас) платить через терминал. Так что вот такие пироги…
А я имя держателя никогда не заполняю.(у меня интернет карта, на де факто виртуальна, и имя держателя на ней отсутствует, хотя теоретически там такое же как на других моих картах) Пока что все транзакции проходят.
вроде обычно это обязательное для заполнения поле )
Нет, на многих сайтах использовал оплату через подобную схему(3d-secure и verified by visa) и нигде ни разу не было ошибки. Украинские, российские банки, paypal и др все отлично проходило.
Может потому что у меня у карточки это поле пустое в самой системе. Я же указал что она виртуальная, у меня от нее есть только номер,cvv и срок действия.
Может потому что у меня у карточки это поле пустое в самой системе. Я же указал что она виртуальная, у меня от нее есть только номер,cvv и срок действия.
>Без пробелов
функции trim(), ctype_digit() и strlen() видать не для этих суровых программистов, да…
функции trim(), ctype_digit() и strlen() видать не для этих суровых программистов, да…
У всех имя как имя, один вы Д'Артаньян.
Ждем поста «Терминалы QIWI — не панацея»
А почему нельзя назвать имена, чтобы народ знал «героев»? Чтобы поиск в Яндексе и Гугле ссылку на эту статью в топ-10.
«Мастер-баааааанк» — сеть стоматолооогий
Ноооомер наааш едииииииин…
Ноооомер наааш едииииииин…
До публикации статьи я отправил e-mail в службу тех. поддержки банка. Только что получил довольно забавный ответ. Стоит ли его публиковать или это нарушит правила переписки?
Если своими словами, то сотрудник банка не верит, что имя на карте указано с апострофом, и рекомендует мне пропустить его при заполнении соответствующего поля.
Ничего это не нарушит.
Если бы обе стороны переписки были частными лицами, то это была бы личная переписка, для обнародования которой нужно согласие обеих сторон.
А в данном случае частное лицо только вы, а на той стороне официальное лицо, представляющее банк, поэтому для опубликования достаточно только вашего желания.
Если бы обе стороны переписки были частными лицами, то это была бы личная переписка, для обнародования которой нужно согласие обеих сторон.
А в данном случае частное лицо только вы, а на той стороне официальное лицо, представляющее банк, поэтому для опубликования достаточно только вашего желания.
Смотрю я на такие формы и ужасаюсь — почему её нельзя сделать похоже на карту? Неужели у банков нет денег на специалистов по юзабилити?
В данном случае, срок действия: на карте он написан в формате ММ/ГГ, в форме месяц указан прописью, а год в формате ГГГГ.
С CVC2/CVV2 тоже косяк — зачем-то просят указать о его наличии и просят ввести перед именем, хотя на большинстве карт он расположен сзади.
В некоторых формах требуют указывать ПС карты, вместо того, чтобы определить её по номеру.
В данном случае, срок действия: на карте он написан в формате ММ/ГГ, в форме месяц указан прописью, а год в формате ГГГГ.
С CVC2/CVV2 тоже косяк — зачем-то просят указать о его наличии и просят ввести перед именем, хотя на большинстве карт он расположен сзади.
В некоторых формах требуют указывать ПС карты, вместо того, чтобы определить её по номеру.
А зачем было идти до автомата QIWI, когда сама система QIWI позволяет оплачивать услуги с карты? И у них таких косяков нет.
Потому что интернет был отключен, а сайт QIWI не добавлен провайдером в специальную зону свободного доступа.
Наверное потому что интернет не оплачен?
Я буду обновлять комментарии… Я буду обновлять комментарии… Я буду обновлять комментарии…
Я буду обновлять комментарии… Я буду обновлять комментарии… Я буду обновлять комментарии…
Я буду обновлять комментарии… Я буду обновлять комментарии… Я буду обновлять комментарии…
Я буду обновлять комментарии… Я буду обновлять комментарии… Я буду обновлять комментарии…
Я буду обновлять комментарии… Я буду обновлять комментарии… Я буду обновлять комментарии…
Некоторые провайдеры делают в личном кабинете «доверенный платёж», т.е. авансом продлевают интернет, и ты в течение 3-х суток должен оплатить его.
Это удобно. Даже если забыл вовремя оплатить, включаешь доверенный платёж и уже через 5 минут гасишь его через интернет-банк, к которому получил доступ через авансом включенный инет.
Это удобно. Даже если забыл вовремя оплатить, включаешь доверенный платёж и уже через 5 минут гасишь его через интернет-банк, к которому получил доступ через авансом включенный инет.
Я на эти Verified by Visa/MC регистрировался вообще исключительно с матом и по телефону со службой поддержки. Но работают вроде пристойно.
Интересно, сколько «хакеров» уже обломалось при попытке оплатить что-нибудь онлайн по указанным в скриншоте реквизитам, в порыве «омгхялява!!!1»? :)
это поле не проверяется
НЛО прилетело и опубликовало эту надпись здесь
У Google в одной из формочек такая же уязвимость была, писал им — забили :( печаль
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Verified by Visa и SSL — не панацея