[ekart]

Это не относится к моему платежному модулю, и не относится к Viart Shop. Это косяк самой платежной системы.

В процессе тестирования HTTP и SOAP протоколов обнаружил неприятную вещь - можно сформировать поддельный http-запрос от интернет-магазина (ИМ) на выставление счета, заблокировав передачу реального запроса. В поддельном запросе изменяется сумма на гораздо меньшую. После оплаты счета на уменьшенную сумму статус заказа в ИМ на основании данных в SOAP-ответе автоматически изменяется на "Оплачен". Таким образом, теоретически можно обмануть ИМ (если не отслеживать уведомления и счета на сайте qiwi.ru), купив товар совсем не за ту цену, которая указана в ИМ. Например, я только-что купил сам у себя автомобильный колесный диск стоимостью 3385 руб. всего лишь за 5 руб.

Написал в тех. поддержку QIWI с подробным изложением проблемы и примером реализации обмана. В качестве решения проблемы предложил либо добавлять хэш к запросу на выставление счета, либо в SOAP-ответе передавать в ИМ оплаченную сумму. А лучше реализовать и то, и другое.

Буду ждать от них ответа.

А пока рекомендую сравнивать суммы оплаченных заказов в своем ИМ и в личном кабинете на qiwi.ru.

----------
PS: Копипастерам - ссылка на этот источник обязательна.

Источник

[Blondolly]

Вообще в QIWI стараюсь деньги не держать, не нравится мне эта система