Hace meses atrás detectamos el aumento del uso de un grave bug que tiene osCommerce y que se ha venido explotando exponencialmente.
Se trata del bug denominado «Comprar sin Pagar» donde el nombre indica claramente, los pedidos que se saltan o emulan el pago de un tpv en Servired, paypal, 4b y similares. Llevamos casi 3 semanas hasta que hemos desarrollado el bugfix para dicho error y evitar así que algún indeseable entre en nuestra tienda y emule un pedido real con tarjeta o paypal, y se le envíe el pedido sin haberlo pagado antes (Si eres un poco cauto revisarás 1 por 1 los pedidos que hayan sido ingresados, pero para altos volúmenes de pedidos esto es un problema muy serio).
Como funciona el BUG:
- Llenamos nuestro carrito de productos.
- Nos logueamos o registramos en la tienda.
- Elegimos nuestro método de envío.
- Elegimos el metodo de envío previo pago (Paypal, TPV servired, 4b, ceca)
- Llegamos a la confirmación del pedido.
- Cambiamos el nombre del archivo de checkout_confirmation.php a checkout_process.php
- Le damos a enter en la misma barra.
- Y voilá pedido confirmado y supuestamente pagado.
El bug no se soluciona con solo cambiar el nombre del archivo del checkout_process.php ya que seleccionando métodos que no son previo pago podemos averiguar rápidamente como se llama el archivo que procesa el pedido (Boton derecho en continuar del confirmation). Los tpv servired por ejemplo u otros como CECA y 4b, tienen sistemas donde este bug no se refleja mediante firmas, pero se saltan facilmente de otras maneras mediante GET, donde nuestro bugfix también las soluciona.
Si sufres este problema y necesitas darle solución no dudes en contactar con nosotros en info@hostienda.com
Hola Jordi, mi tienda no está afectada, al intentar hacerlo me dice que hubo un error. ¿Cuales son las tiendas afectadas?
Utilizo Caja Rural….
Neng tal vez habría sido mejor no explicar cómo explotarlo, jajaja. Aunque ahora todo el mundo estará obligado a revisarlos. A mandar mailing a todos nuestros clientes para avisar del bug.
Saludos.
Yo creo que… habra muchas tiendas afectadas gracias al haber publicado este bug… tiendas que su administrador es ajeno a este bug… y ajeno a esa ultima linea que dice «Si sufres este problema y necesitas darle solución no dudes en contactar con nosotros en info@hostienda.com» ¿crees de verdad que esas tiendas se pondran en contacto contigo?… yo aprovenchando el tiron voy a ir a ver si puedo sacarme algo gratis no? 😉
Gracias jordi!!!
Bueno
@Danielin, creo que existe una gran diferencia entre hacer una reserva de compra «gratis» y que te lo «envien gratis». Esto ayudará a los administradores de las tiendas a hacer las cosas bien, es decir, revisar que cada pedido haya tenido su correspondiente ingreso, solo al administrador despistado enviará pedidos sin haberlos cobrado antes, si lo miras bien, no tienes porque enviar nada si no compruebas que tienes el dinero en tu cuenta.
@Juan caja rural en principio no lo hemos testeado.
@Jose , era necesario, porque tienen que abrir los ojos y solucionarl, ya era mucha gente que lo hacia servir y no podemos hacer ojos ciegos.
Bueno… si tu lo dices… pero una tienda con un buen volumen de ventas… creo que se comen algunos de los envios. Y me reitero en lo que he dicho, veo perfecto que digas que tiene un bug… pero explicar con pelos y señales como hacerlo… Dices en tu comentario: «Esto ayudará a los administradores de las tiendas a hacer las cosas bien, es decir, revisar que cada pedido haya tenido su correspondiente ingreso…» crees de verdad que TODOS los administradores de tiendas virtuales visitan tu blog? que habrá muchos, sí, pero bueno… no me extiendo más, que tus motivos tendrás, y ahora… a sacar tajada del bug!
PD: ¿porque no pones la solución? ¿abrir los ojos y solucionarlo es hacer que se dejen un dinero?
Hasta la proxima!
Daniel, siento que te lo tomes tan mal, pero si le llamas «sacar tajada» a habernos tirado varias semanas a resolver un grave problema de seguridad, es un punto de vista muy austero por tu parte la verdad. Dicho bugfix lo publicaremos dentro de unas semanas.
Un saludo, gracias por tus comentarios y tu punto crítico que también es comprensible.
Pero si ya han publicado el fix… si quieres publico el enlace aqui. Hace ya varias semanas o incluso un mes creo.
Y no me lo tomo mal, la verdad, solo doy mi opinión.
Éste es un blog libre, puedes publicar los enlaces a la solución que crees haber encontrado, pero no creo que implique la solución al bug en todos las pasarelas. Gracias.
Hola
Tiene que ver con esto?
http://forums.oscommerce.com/topic/80361-error-in-checkout-processphps-logic/
Buenas tardes, poseo una tienda virtual creada en osCommerce y quisiera incorporarle un comparador de artículos, ¿me podeís indicar si hay algún módulo creado que podamos utilizar?
Hola Jordi, hace ya más de un año dijiste que publicarías el bug del que se habla aqui.
Me pregunto si ya ha pasado un tiempo suficiente para sacar algunos beneficios de tu trabajo, algo con lo que estoy de acuerdo.
En fin creo que seria de gran ayuda que lo publicases o si ya lo has hecho nos comunicases donde lo has publicado.
Gracias por todos tus aportes.
Fernando