probleme de coordination module paiement viva walett

[sweedgreen]

Bonjour

j'ai actuellement mis en place le zipp de téléchargement de viva walett sur mon site internet, j'ai bien mis mes infos demandés en coordination avec mon compte viva walett, j'ai fait un essai de commande en tant que client sur mon site, le 3d secure c'est mis en marche et le paiement effectué et j'ai bien reçu sur mon compte. Par contre je n'ai pas de retour sur mon tableau de bord prestashop 1.7, soit de la commande effectué, du paiement et du client où il n'y aucune info concernant cette vente, j'ai appelé viva walett qui m'aurait expliqué qu'il n'y a pas de retour avec prestashop problème de pont ??? en fait cela viendrait d'un réglage qui doit se faire au niveau de prestashop par contre je ne sais pas ou aller? avez vous eu déjà des exemples?

[TrogloGeek]

Bonjour, je ne comprends pas bien pourquoi vous postez cela ici, quel rapport avec ce module de paiement ?
Si le module de Viva Wallet ne permet pas d'avoir les validation de paiement (ce qui me semble quelque peu "dommage" pour un module de paiement) c'est qu'il n'ont pas développé cette fonctionnalité pourtant primordiale...
Mais je viens de regarder rapidement le module, il y a bien un contrôleur de validation de paiement, donc je pencherais pour un mauvais routage de la requête qui doit se perdre soit au niveau d'une mauvaise URL de callback générée, soit au niveau du serveur HTTP, soit du routeur SEO PrestaShop...
A votre place j'irais lire le log de requête de votre serveur HTTP pour essayer de trouver trace de la requête perdue et comprendre pourquoi.

Mais du peu de code que j'ai lu, j'ai vu des failles de sécurité:

• Faille d'injection SQL de par l'utilisation de la méthode addslashes pour inclure des valeurs issues de l'extérieur dans des requêtes SQL. addslashes() ne sert pas à cela (https://www.php.net/manual/fr/function.addslashes.php), il faut utiliser une requête préparée PDO. GRAVE Cette faille permet théoriquement par exemple à un attaquant d'effacer votre base de données, de valider des commandes non payées...
• Faille d'injection HTML, le module permettant d'injecter par exemple du javascript dans du HTML en n'échappant pas certaines valeurs avant de les utiliser dans du HTML. Gravité non évaluée, cela nécessiterait un peu de temps pour vérifier les cas d'exploitabilité.

Je ne recommande pas l'utilisation du module en l'état, mais si vous avez un développeur PHP/PrestaShop sous la main il devrait pouvoir corriger le module assez rapidement (1 à 3 jours de boulot).
Je trouve cela inquiétant que de telles firmes lâches du code d'aussi mauvaise qualité surtout dans un contexte de paiement en ligne. Il est permis de se poser des questions sur la sécurité de toute leur infrastructure...

[sweedgreen]

merci de votre réponse