gpt4 book ai didi

amazon-web-services - 如何将即时付款通知 (IPN) 列入白名单?

转载 作者:太空宇宙 更新时间:2023-11-03 16:06:59 25 4
gpt4 key购买 nike

我们的网站应该处理即时付款通知 (IPN)。

出于安全原因,我们应该只允许从 Paypal 访问我们的网站。 (即我们应该阻止来自其他网络位置的 HTTP POST 请求。)

Paypal 发布其服务器的 IP 地址列表。但是Paypal推荐使用DNS结果,因为他们会经常更改服务器的IP地址,而且他们不会提前报告[1]。

PayPal changes its records often and does not provide advance notification of changes

为了实现上述需求,我们必须集成一个自动检测某个域名(如ipnpb.paypal.com)IP地址变化的系统,并更新我们服务器的防火墙设置。

(具体来说,我们的网站集成在AWS上,我们使用安全组设置而不是防火墙设置。)

但我们真的必须这样做吗?有谁知道这个问题的更复杂的解决方案?

[1] https://www.paypal-knowledge.com/infocenter/index?page=content&widgetview=true&id=FAQ1056[2] https://www.paypal-knowledge.com/infocenter/index?page=content&id=FAQ1006&pmv=print&impressions=false&viewlocale=en_US

最佳答案

We should permit accesses only from Paypal to our site for security reason. (i.e. we should block HTTP POST requests from other network locations.)

我认为将 IPN 监听器向公众开放不会带来安全风险。我确信这是常见的设置。

如您所述,PayPal 本身并不及时提供其当前 IPN 服务的列表。这使得您的安全组中无法获得源 IP 范围的准确列表。

此外,IPN 验证请求的性质使其不太可能成为攻击媒介。您需要将请求回发到已知的 PayPal URL (ipn.paypal.com),他们会在其中验证 token 和数据。

如果他们不验证请求,则忽略该请求。这个因素意味着 PayPal 将首先拒绝任何并非来自他们的请求。

多年来,我们一直向公众开放所有 IPN 听众,没有发生任何事件或攻击。我们遵循所有可共鸣的安全政策,并运行符合 PCI 标准的支付平台,每月进行 PCI 漏洞扫描。

如果您的系统在所有其他方面都得到了很好的保护,那么让 IPN 监听器向公众开放的安全风险可以忽略不计。

关于amazon-web-services - 如何将即时付款通知 (IPN) 列入白名单?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/37784832/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com