- ข้อความ
- ประวัติศาสตร์
7. MISUNDERSTANDING THE SSL API7.1
7. MISUNDERSTANDING THE SSL API
7.1 Amazon Flexible Payments Service (PHP)
Amazon Flexible Payments Service (FPS) provides SDKs that
merchants use to transmit customers’ payment details to the FPS
gateway. The PHP version of the FPS SDK uses a wrapper around
the libcurl library (see Section 4.2) to establish an SSL connection
to the gateway.
cURL’s options for certificate validation are set in
srcAmazonFOPSClient.php as follows:
curl_setopt($curlHandle, CURLOPT_SSL_VERIFYPEER, true);
curl_setopt($curlHandle, CURLOPT_SSL_VERIFYHOST, true);
...
/ / E x e c ut e t h e r e q u e s t
$response = curl_exec($curlHandle);
This well-intentioned code contains a fatal mistake. cURL’s default value of CURLOPT_SSL_VERIFYHOST is correctly set to 2. In the
curl_setopt($curlHandle,CURLOPT_SSL_VERIFYHOST, true) call,
true silently turns into 1, overriding the default and instructing
cURL to check the existence of any common name in the certificate
(Section 4.2), which may or may not match the name requested.
Any PHP code using this Amazon-provided SDK to establish an
SSL connection to the Amazon Flexible Payments Service gateway
is insecure against a man-in-the-middle attack
The URL verification utility—found in srcAmazonIpnReturnUrlValidationSignatureUtilsForOutbound.
php—is broken in a very similar way. This utility is critically important because it is used by merchants to verify the origin of the
calls informing them that a customer’s payment has been successfully processed (see Section 5). Because Amazon’s PHP SDK does
not correctly verify the origin of the IPN call, e-commerce sites
using it may be vulnerable to “shop-for-free” attacks [23].
7.1 Amazon Flexible Payments Service (PHP)
Amazon Flexible Payments Service (FPS) provides SDKs that
merchants use to transmit customers’ payment details to the FPS
gateway. The PHP version of the FPS SDK uses a wrapper around
the libcurl library (see Section 4.2) to establish an SSL connection
to the gateway.
cURL’s options for certificate validation are set in
srcAmazonFOPSClient.php as follows:
curl_setopt($curlHandle, CURLOPT_SSL_VERIFYPEER, true);
curl_setopt($curlHandle, CURLOPT_SSL_VERIFYHOST, true);
...
/ / E x e c ut e t h e r e q u e s t
$response = curl_exec($curlHandle);
This well-intentioned code contains a fatal mistake. cURL’s default value of CURLOPT_SSL_VERIFYHOST is correctly set to 2. In the
curl_setopt($curlHandle,CURLOPT_SSL_VERIFYHOST, true) call,
true silently turns into 1, overriding the default and instructing
cURL to check the existence of any common name in the certificate
(Section 4.2), which may or may not match the name requested.
Any PHP code using this Amazon-provided SDK to establish an
SSL connection to the Amazon Flexible Payments Service gateway
is insecure against a man-in-the-middle attack
The URL verification utility—found in srcAmazonIpnReturnUrlValidationSignatureUtilsForOutbound.
php—is broken in a very similar way. This utility is critically important because it is used by merchants to verify the origin of the
calls informing them that a customer’s payment has been successfully processed (see Section 5). Because Amazon’s PHP SDK does
not correctly verify the origin of the IPN call, e-commerce sites
using it may be vulnerable to “shop-for-free” attacks [23].
0/5000
7. MISUNDERSTANDING SSL API7.1 บริการชำระเงินที่ยืดหยุ่น Amazon (PHP)อเมซอนยืดหยุ่นชำระเงินบริการ (FPS) ให้ SDKs ที่ร้านค้าที่ใช้ในการส่งรายละเอียดการชำระเงินของลูกค้ากับ FPSเกตเวย์ รุ่น PHP FPS SDK ใช้กระดาษห่อรอบรี libcurl (ดูส่วนที่ 4.2) เพื่อสร้างการเชื่อมต่อ SSLการเกตเวย์ ตั้งอยู่ในขดของตัวเลือกสำหรับการตรวจสอบ certificatesrcAmazonFOPSClient.php เป็นดังนี้:curl_setopt ($curlHandle, CURLOPT_SSL_VERIFYPEER, true);curl_setopt ($curlHandle, CURLOPT_SSL_VERIFYHOST, true);.../ / E x e c ut e t h e r e q u e s t$response = curl_exec($curlHandle)รหัสนี้เจตนาประกอบด้วยความผิดพลาดร้ายแรง อย่างถูกต้องมีตั้งค่าเริ่มต้นของขด CURLOPT_SSL_VERIFYHOST 2 ในโทร curl_setopt ($curlHandle, CURLOPT_SSL_VERIFYHOST จริง)จริงอยู่เบื้องหลังจะเป็น 1 แทนค่าเริ่มต้น และสอนม้วนกระดาษเพื่อตรวจสอบการมีอยู่ของชื่อทั่วไปในการ certificate(ส่วน 4.2), ซึ่งอาจ หรืออาจไม่ตรงกับชื่อที่ร้องขอรหัส PHP ใด ๆ ใช้ SDK นี้ Amazon มีการสร้างการSSL เชื่อมต่อเกตเวย์ Amazon บริการชำระเงินมีความยืดหยุ่นจะไม่ปลอดภัยจากการโจมตีคนในกลางโปรแกรมอรรถประโยชน์ verification URL ซึ่งพบใน srcAmazonIpnReturnUrlValidationSignatureUtilsForOutboundphp-เสียในลักษณะคล้ายกัน โปรแกรมอรรถประโยชน์นี้เป็นสิ่งสำคัญเหลือ เพราะมันถูกใช้ โดยพ่อค้าเพื่อตรวจสอบแหล่งมาของการโทรแจ้งไปที่ การชำระเงินของลูกค้าได้รับเรียบร้อยแล้วประมวลผล (ดูส่วนที่ 5) เนื่องจาก SDK PHP ของ Amazon ไม่ไม่ถูกต้องตรวจสอบแหล่งมาของ IPN โทร เว็บไซต์อีคอมเมิร์ซใช้อาจเสี่ยงต่อการโจมตี "ร้านสำหรับฟรี" [23]
การแปล กรุณารอสักครู่..
7. ความเข้าใจผิด SSL API
7.1 Amazon บริการการชำระเงินที่มีความยืดหยุ่น (PHP)
Amazon บริการการชำระเงินที่มีความยืดหยุ่น (FPS) ให้ SDKs ที่
ร้านค้าที่ใช้ในการส่งรายละเอียดการชำระเงินของลูกค้าในการ FPS
เกตเวย์ PHP เวอร์ชัน FPS SDK ใช้ห่อหุ้มรอบ
ห้องสมุด libcurl (ดูมาตรา 4.2) เพื่อสร้างการเชื่อมต่อ SSL
ที่ประตู. ตัวเลือกม้วนสำหรับการตรวจสอบ Cate Fi ใบรับรองที่ตั้งอยู่ในsrc Amazon FOPS Client.php ดังนี้curl_setopt ( $ curlHandle, CURLOPT_SSL_VERIFYPEER จริง); curl_setopt ($ curlHandle, CURLOPT_SSL_VERIFYHOST จริง) ... / / E XEC คัด etherequest ตอบสนอง $ = curl_exec ($ curlHandle) รหัสเจตนาดีนี้มีความผิดพลาดร้ายแรง ค่าเริ่มต้นม้วนของ CURLOPT_SSL_VERIFYHOST ตั้งอย่างถูกต้องไป 2. ในcurl_setopt ($ curlHandle, CURLOPT_SSL_VERIFYHOST จริง) โทรจริงเงียบกลายเป็น 1 เอาชนะเริ่มต้นและการสอนม้วนเพื่อตรวจสอบการดำรงอยู่ของชื่อสามัญใด ๆ ใน Cate Fi ใบรับรอง(มาตรา 4.2 ) ซึ่งอาจจะหรืออาจจะไม่ตรงกับชื่อที่ร้องขอ. ใด ๆ โค้ด PHP โดยใช้ SDK Amazon-ให้เพื่อสร้างการเชื่อมต่อ SSL เพื่อเกตเวย์ Amazon ยืดหยุ่นบริการการชำระเงินไม่ปลอดภัยกับมนุษย์ในกลางโจมตีURL Veri Fi ไอออนบวกสาธารณูปโภค พบใน src Amazon IpnReturnUrlValidation SignatureUtilsForOutbound. PHP-เสียในลักษณะที่คล้ายกันมาก ยูทิลิตี้นี้เป็นสิ่งสำคัญอย่างยิ่งเพราะมันจะถูกใช้โดยร้านค้าเพื่อตรวจสอบที่มาของการโทรแจ้งให้พวกเขาว่าการชำระเงินของลูกค้าได้รับการดำเนินการเรียบร้อยแล้ว (ดูมาตรา 5) เพราะ SDK ของ Amazon PHP ไม่ถูกต้องตรวจสอบที่มาของการเรียก IPN, เว็บไซต์อีคอมเมิร์ซใช้มันอาจจะมีความเสี่ยงที่จะ "ร้านสำหรับฟรี" การโจมตี [23]
7.1 Amazon บริการการชำระเงินที่มีความยืดหยุ่น (PHP)
Amazon บริการการชำระเงินที่มีความยืดหยุ่น (FPS) ให้ SDKs ที่
ร้านค้าที่ใช้ในการส่งรายละเอียดการชำระเงินของลูกค้าในการ FPS
เกตเวย์ PHP เวอร์ชัน FPS SDK ใช้ห่อหุ้มรอบ
ห้องสมุด libcurl (ดูมาตรา 4.2) เพื่อสร้างการเชื่อมต่อ SSL
ที่ประตู. ตัวเลือกม้วนสำหรับการตรวจสอบ Cate Fi ใบรับรองที่ตั้งอยู่ในsrc Amazon FOPS Client.php ดังนี้curl_setopt ( $ curlHandle, CURLOPT_SSL_VERIFYPEER จริง); curl_setopt ($ curlHandle, CURLOPT_SSL_VERIFYHOST จริง) ... / / E XEC คัด etherequest ตอบสนอง $ = curl_exec ($ curlHandle) รหัสเจตนาดีนี้มีความผิดพลาดร้ายแรง ค่าเริ่มต้นม้วนของ CURLOPT_SSL_VERIFYHOST ตั้งอย่างถูกต้องไป 2. ในcurl_setopt ($ curlHandle, CURLOPT_SSL_VERIFYHOST จริง) โทรจริงเงียบกลายเป็น 1 เอาชนะเริ่มต้นและการสอนม้วนเพื่อตรวจสอบการดำรงอยู่ของชื่อสามัญใด ๆ ใน Cate Fi ใบรับรอง(มาตรา 4.2 ) ซึ่งอาจจะหรืออาจจะไม่ตรงกับชื่อที่ร้องขอ. ใด ๆ โค้ด PHP โดยใช้ SDK Amazon-ให้เพื่อสร้างการเชื่อมต่อ SSL เพื่อเกตเวย์ Amazon ยืดหยุ่นบริการการชำระเงินไม่ปลอดภัยกับมนุษย์ในกลางโจมตีURL Veri Fi ไอออนบวกสาธารณูปโภค พบใน src Amazon IpnReturnUrlValidation SignatureUtilsForOutbound. PHP-เสียในลักษณะที่คล้ายกันมาก ยูทิลิตี้นี้เป็นสิ่งสำคัญอย่างยิ่งเพราะมันจะถูกใช้โดยร้านค้าเพื่อตรวจสอบที่มาของการโทรแจ้งให้พวกเขาว่าการชำระเงินของลูกค้าได้รับการดำเนินการเรียบร้อยแล้ว (ดูมาตรา 5) เพราะ SDK ของ Amazon PHP ไม่ถูกต้องตรวจสอบที่มาของการเรียก IPN, เว็บไซต์อีคอมเมิร์ซใช้มันอาจจะมีความเสี่ยงที่จะ "ร้านสำหรับฟรี" การโจมตี [23]
การแปล กรุณารอสักครู่..
7 . เข้าใจผิด SSL API
7.1 Amazon มีความยืดหยุ่นการชำระเงินบริการ ( PHP )
Amazon มีความยืดหยุ่นการชำระเงินบริการ ( FPS ) มี SDK ที่
พ่อค้าใช้ส่งรายละเอียดการจ่ายเงินของลูกค้าไปยัง FPS
เกตเวย์ รุ่นของ PHP FPS SDK ที่ใช้ห่อรอบ
libcurl ห้องสมุด ( ดูมาตรา 4.2 ) เพื่อสร้างการเชื่อมต่อ SSL
ไปยังเกตเวย์
ตัวเลือกสำหรับการม้วน certi เคทจึงตั้งอยู่ใน src
Amazon ของคุณตำรวจ client.php ดังนี้
curl_setopt ( $ curlhandle curlopt_ssl_verifypeer , true ) ;
curl_setopt ( $ curlhandle curlopt_ssl_verifyhost , true ) ;
. .
/ / E X E C UT E T H E R E q u e s T
$ curl_exec ตอบสนอง = ( $ curlhandle ) ;
รหัสดีอาจมีนี้มีข้อผิดพลาดร้ายแรงขดเป็นค่าเริ่มต้นของ curlopt_ssl_verifyhost ได้อย่างถูกต้อง ชุด 2 ใน
curl_setopt ( $ curlhandle curlopt_ssl_verifyhost , True ) โทร
จริงอย่างเงียบๆ กลายเป็น 1 , แทนการเริ่มต้นและสั่ง
ม้วนตรวจสอบการดำรงอยู่ของชื่อสามัญใน certi จึงเคท
( มาตรา 4 ) ซึ่งอาจจะหรืออาจจะไม่ตรงกับชื่อที่ร้องขอ
โค้ด PHP ใช้ Amazon นี้ใด ๆ ให้ SDK เพื่อจัดตั้ง
SSL การเชื่อมต่อกับ Amazon บริการเกตเวย์การชำระเงินที่มีความยืดหยุ่น
จะไม่ปลอดภัยกับผู้ชายในการโจมตีกลาง
URL ที่มีการถ่ายทอดโปรแกรมพบใน src signatureutilsforoutbound Amazon ipnreturnurlvalidation .
PHP จะแตกในลักษณะที่คล้ายกันมาก ยูทิลิตี้นี้จะสำคัญมาก เพราะมันถูกใช้โดยร้านค้าตรวจสอบที่มาของ
โทรแจ้งพวกเขาว่าเงินของลูกค้าที่ถูกประมวลผลเรียบร้อยแล้ว ( ดูมาตรา 5 ) เพราะ Amazon ของ PHP SDK ไม่
ไม่ถูกต้องตรวจสอบที่มาของ IPN เรียกเว็บไซต์ e - commerce
ใช้มันอาจจะเสี่ยงที่จะ " ร้านค้าฟรี " การโจมตี [ 23 ]
7.1 Amazon มีความยืดหยุ่นการชำระเงินบริการ ( PHP )
Amazon มีความยืดหยุ่นการชำระเงินบริการ ( FPS ) มี SDK ที่
พ่อค้าใช้ส่งรายละเอียดการจ่ายเงินของลูกค้าไปยัง FPS
เกตเวย์ รุ่นของ PHP FPS SDK ที่ใช้ห่อรอบ
libcurl ห้องสมุด ( ดูมาตรา 4.2 ) เพื่อสร้างการเชื่อมต่อ SSL
ไปยังเกตเวย์
ตัวเลือกสำหรับการม้วน certi เคทจึงตั้งอยู่ใน src
Amazon ของคุณตำรวจ client.php ดังนี้
curl_setopt ( $ curlhandle curlopt_ssl_verifypeer , true ) ;
curl_setopt ( $ curlhandle curlopt_ssl_verifyhost , true ) ;
. .
/ / E X E C UT E T H E R E q u e s T
$ curl_exec ตอบสนอง = ( $ curlhandle ) ;
รหัสดีอาจมีนี้มีข้อผิดพลาดร้ายแรงขดเป็นค่าเริ่มต้นของ curlopt_ssl_verifyhost ได้อย่างถูกต้อง ชุด 2 ใน
curl_setopt ( $ curlhandle curlopt_ssl_verifyhost , True ) โทร
จริงอย่างเงียบๆ กลายเป็น 1 , แทนการเริ่มต้นและสั่ง
ม้วนตรวจสอบการดำรงอยู่ของชื่อสามัญใน certi จึงเคท
( มาตรา 4 ) ซึ่งอาจจะหรืออาจจะไม่ตรงกับชื่อที่ร้องขอ
โค้ด PHP ใช้ Amazon นี้ใด ๆ ให้ SDK เพื่อจัดตั้ง
SSL การเชื่อมต่อกับ Amazon บริการเกตเวย์การชำระเงินที่มีความยืดหยุ่น
จะไม่ปลอดภัยกับผู้ชายในการโจมตีกลาง
URL ที่มีการถ่ายทอดโปรแกรมพบใน src signatureutilsforoutbound Amazon ipnreturnurlvalidation .
PHP จะแตกในลักษณะที่คล้ายกันมาก ยูทิลิตี้นี้จะสำคัญมาก เพราะมันถูกใช้โดยร้านค้าตรวจสอบที่มาของ
โทรแจ้งพวกเขาว่าเงินของลูกค้าที่ถูกประมวลผลเรียบร้อยแล้ว ( ดูมาตรา 5 ) เพราะ Amazon ของ PHP SDK ไม่
ไม่ถูกต้องตรวจสอบที่มาของ IPN เรียกเว็บไซต์ e - commerce
ใช้มันอาจจะเสี่ยงที่จะ " ร้านค้าฟรี " การโจมตี [ 23 ]
การแปล กรุณารอสักครู่..
ภาษาอื่น ๆ
การสนับสนุนเครื่องมือแปลภาษา: กรีก, กันนาดา, กาลิเชียน, คลิงออน, คอร์สิกา, คาซัค, คาตาลัน, คินยารวันดา, คีร์กิซ, คุชราต, จอร์เจีย, จีน, จีนดั้งเดิม, ชวา, ชิเชวา, ซามัว, ซีบัวโน, ซุนดา, ซูลู, ญี่ปุ่น, ดัตช์, ตรวจหาภาษา, ตุรกี, ทมิฬ, ทาจิก, ทาทาร์, นอร์เวย์, บอสเนีย, บัลแกเรีย, บาสก์, ปัญจาป, ฝรั่งเศส, พาชตู, ฟริเชียน, ฟินแลนด์, ฟิลิปปินส์, ภาษาอินโดนีเซี, มองโกเลีย, มัลทีส, มาซีโดเนีย, มาราฐี, มาลากาซี, มาลายาลัม, มาเลย์, ม้ง, ยิดดิช, ยูเครน, รัสเซีย, ละติน, ลักเซมเบิร์ก, ลัตเวีย, ลาว, ลิทัวเนีย, สวาฮิลี, สวีเดน, สิงหล, สินธี, สเปน, สโลวัก, สโลวีเนีย, อังกฤษ, อัมฮาริก, อาร์เซอร์ไบจัน, อาร์เมเนีย, อาหรับ, อิกโบ, อิตาลี, อุยกูร์, อุสเบกิสถาน, อูรดู, ฮังการี, ฮัวซา, ฮาวาย, ฮินดี, ฮีบรู, เกลิกสกอต, เกาหลี, เขมร, เคิร์ด, เช็ก, เซอร์เบียน, เซโซโท, เดนมาร์ก, เตลูกู, เติร์กเมน, เนปาล, เบงกอล, เบลารุส, เปอร์เซีย, เมารี, เมียนมา (พม่า), เยอรมัน, เวลส์, เวียดนาม, เอสเปอแรนโต, เอสโทเนีย, เฮติครีโอล, แอฟริกา, แอลเบเนีย, โคซา, โครเอเชีย, โชนา, โซมาลี, โปรตุเกส, โปแลนด์, โยรูบา, โรมาเนีย, โอเดีย (โอริยา), ไทย, ไอซ์แลนด์, ไอร์แลนด์, การแปลภาษา.
- 上刻了
- กินมุมมาม
- เมื่อเช้าคุณถามฉันว่าเมื่อฉันจะมีเลือดปร
- water resistance
- แก้วมังกร
- ภายใต้เงื่อนไขของeBay
- Conduct
- QA have 4 person and split agent for mon
- ฉันจะได้รับงานด้วย
- With the world's second and sixth larges
- used to be girlfriend
- We help tutor each well.
- ตั้งแต่
- มารับข้าวละจ๊ะ
- In several host materials
- ตั้งด่าน
- Survive the all-you-can-eat buffet. Surv
- ไม่หลุดหาย
- Suggestions on this job. There should be
- เธอเอาปูมาจากไหน
- Total
- คุณพบใคร
- Suggestions on this job. There should be
- Mes papiers et puis soudain
