1 голос в вк сколько рублей: Новый порядок оплаты голосами ВКонтакте

Человек и закон. Первый канал

Человек и закон. Первый канал

Хотите получать уведомления от проекта «Человек и закон»?

Сюжеты

Показать еще

Выпуски

Показать еще

Смотрите также

«Срок годности» управляющей компании. Доброе утро. Фрагмент

С 2018 года лицензии управляющим компаниям выдают на пять лет. У большинства УК срок действия лицензий закончился 1 июня. Для ее продления нужно было подать те же документы, что и при получении — не ранее 60 дней до окончания срока действия и не позже 45 дней.

Долг за коммуналку? На кредит не рассчитывайте! Доброе утро. Фрагмент

С 2014 года записи о долгах ЖКУ появляются в кредитных историях. Но не сразу: если жильцы не платят больше двух месяцев, управляющая компания сначала обращается в суд.

Семьи растут. И выплаты тоже. Доброе утро. Фрагмент

Материнский капитал — самая популярная мера поддержки национального проекта «Демография». Им уже воспользовались больше 10 миллионов семей. Суммы растут каждый год!

Покупка жилья: семь главных ошибок.

Доброе утро. Фрагмент

Собираетесь купить жилье? Разбираем самые распространенные ошибки при покупке недвижимости.

Моя мама — предприниматель. Доброе утро. Фрагмент

В стране уже больше 6 миллионов предпринимателей малого и среднего бизнеса и около 7 миллионов самозанятых.

С велосипедом в электричке. Доброе утро. Фрагмент

При себе велосипед, рюкзак и собака — как со всем этим добром проехать в транспорте и никому не навредить? Изучаем правила провоза.

Аварийные деревья: рубить нельзя кронировать. Доброе утро. Фрагмент

Для проведения любых работ с зелеными насаждениями необходимо получить официальное разрешение — порубочный билет. Оформить его можно самостоятельно в МФЦ или муниципалитете.

Как получить налоговый вычет. Доброе утро. Фрагмент

Для любого вычета придется заполнить налоговую декларацию 3-НДФЛ. Можно распечатать и внести данные от руки, но проще заполнить в специальной программе на компьютере — ее нужно скачать с сайта налоговой.

Такую подать можно как в самой налоговой, так и через личный кабинет налогоплательщика.

Субсидии на оплату ЖКУ: что нового? Доброе утро. Фрагмент

Кому государство поможет с оплатой коммунальных платежей?

Налоговый вычет: онлайн тоже можно. Доброе утро. Фрагмент

Оформить налоговый вычет не так сложно, как кажется!

Зачем предпринимателю цифровой профиль. Доброе утро. Фрагмент

Не выходя из дома зарегистрировать бизнес? Почти три миллиона предпринимателей уже завели цифровой профиль на Госуслугах.

Кто поменяет лифт? Доброе утро. Фрагмент

Как заменить неисправный лифт: за что отвечает управляющая компания и к кому обращаться, если лифт так и не работает.

Одна из самых востребованных и актуальных общественно-политических программ на отечественном телевидении. Основное правило программы старо как мир: информация из первых рук и только проверенные факты. Главные темы программы — борьба с организованной преступностью, расследования о коррупции в высших эшелонах власти, криминальные истории.

Связаться с редакцией можно по почте: [email protected]; [email protected] или телефонам: +7495 617-77-82; 8495 646 06 97

Общественно-политическая программа

---

---

ПРЯМОЙ ЭФИР

Новости Уфы — главные новости сегодня | ufa1.ru

Происшествия

Жителей Башкирии напугали новости про вспышку кори на популярном курорте. Узнали, что случилось

Администрация базы отдыха сообщила, что туристам ничего не угрожает

В Башкирии почти неделю разыскивают 17-летнего мальчика, который ушел на экзамены и не вернулся

Обсудить

На ПМЭФ-2023 обсудят ключевые вопросы и точки роста российского малого бизнеса

Гендиректор ФК «Уфа» Шамиль Газизов покинул пост после вылета команды из Первой лиги

Происшествия

Роспотребнадзор проверит продажи сидра в Башкирии в связи с массовыми отравлениями в регионах

Дзюдоисты из 10 стран приняли участие в «Кубке Анатолия Рахлина»

Наложили отпечаток: 7 женских имен с трудной судьбой — среди них есть популярные

Обсудить

Перспективы развития Крайнего Севера обсудят на ПМЭФ

Происшествия

В Башкирии из головы девятиклассника извлекли пулю.

Ситуацией заинтересовались следователи

Вода ушла, дома не пострадали: в МЧС Башкирии рассказали о селе, которое затопило из-за ливня

«Мечтал взять ее в жены»: сварщик женился на девушке из Замбии — сейчас они живут в российской деревне

Логист, инженер и кадровик из Уфы прошли в полуфинал конкурса красоты «Мисс Офис» — фотографии

Криминал

Студента уфимского колледжа задержали за поджог военкомата

1 168

12

А вы любите экзотические фрукты? Пробуем гранадиллу, тамаринд и жареный плантан

У водителя не было прав: новые подробности и видео ДТП с четырьмя пострадавшими в Уфе

В нескольких регионах России прозвучало «экстренное обращение» Путина. В Кремле назвали его взломом

Дороги и транспорт

В Уфе московский трамвай сошел с рельсов. Это второй инцидент с участием транспорта из Москвы

1 901

34

Глава Башкирии посоветовал подчиненному «ночевать в церкви»

Жители двух регионов отравились сидром: 10 человек скончались, производителя задержали

Может предупреждать о серьезном диагнозе. Хирург — о том, чем может быть опасна боль в стопах

Дороги и транспорт

В Уфе московский трамвай сошел с рельсов. Это второй инцидент с участием транспорта из Москвы

1 901

34

А вы любите экзотические фрукты? Пробуем гранадиллу, тамаринд и жареный плантан

У водителя не было прав: новые подробности и видео ДТП с четырьмя пострадавшими в Уфе

В нескольких регионах России прозвучало «экстренное обращение» Путина. В Кремле назвали его взломом

Криминал

Студента уфимского колледжа задержали за поджог военкомата

1 168

12

Глава Башкирии посоветовал подчиненному «ночевать в церкви»

Жители двух регионов отравились сидром: 10 человек скончались, производителя задержали

Может предупреждать о серьезном диагнозе. Хирург — о том, чем может быть опасна боль в стопах

В Уфе начали устанавливать новый купол на мечети «Ар-Рахим»

1 111

21

«Самые вкусные помидоры у них покупаю»: Хабиров потребовал не пускать перекупов на места для садоводов

Прокуратура нашла кучу нарушений в элитном колледже, где покончил с собой 17-летний первокурсник

В Уфе внедорожник влетел в жилой дом и перевернулся. Четыре человека пострадали

2 647

15

Происшествия

В Башкирии вынесли приговор парню, который убил свою 19-летнюю знакомую и надругался над ее трупом

3 213

12

Взялись за женщин и вахтовиков: как агрегаторы заманивают к себе таксистов, которых не хватает по всей стране

В Башкирии две девочки получили переломы и ушибы после падения из окна во время пожара

1 264

1

Приз за лучший фильм уехал в Китай: итоги X Забайкальского международного кинофестиваля

Ждите дождей с градом: в Башкирии на неделе похолодает до +15 градусов

9 751

4

В Башкирии годовалая девочка выжила после падения с четвертого этажа

1 531

1

Битва «нищемаркетов». Что предлагает новый дискаунтер «Чижик»: изучаем полки и цены

1 650

5

Время «расКАИвания». Тестируем первую иномарку российской сборки после начала СВО

790

Обсудить

Борьба с высоткой на Шота Руставели в Уфе

В «белый дом» Башкирии принесли кишки.

Рассказываем зачем

7 567

38

Минобороны сообщило о крупномасштабном украинском наступлении

1 104

17

«А слабо создать черную дыру?»: молодая ученая — об экспериментах с частицами и нелепых вопросах

417

Обсудить

«Мы живем в эпоху очень дорогих денег». Эксперт рассказал, как изменится рынок недвижимости в России

Борьба с высоткой на Шота Руставели в Уфе

В «белый дом» Башкирии принесли кишки. Рассказываем зачем

7 567

38

В Башкирии годовалая девочка выжила после падения с четвертого этажа

1 531

1

Битва «нищемаркетов». Что предлагает новый дискаунтер «Чижик»: изучаем полки и цены

1 650

5

Время «расКАИвания». Тестируем первую иномарку российской сборки после начала СВО

790

Обсудить

Ждите дождей с градом: в Башкирии на неделе похолодает до +15 градусов

9 751

4

Минобороны сообщило о крупномасштабном украинском наступлении

1 104

17

«А слабо создать черную дыру?»: молодая ученая — об экспериментах с частицами и нелепых вопросах

417

Обсудить

«Мы живем в эпоху очень дорогих денег». Эксперт рассказал, как изменится рынок недвижимости в России

Здоровье

Проблема

Глухая стена бюрократии: мать из Башкирии не может доказать инвалидность 11-летнего сына с тугоухостью

1 757

12

В Башкирии за выходные утонули 8 человек

1 408

6

Когда теперь вырастут пенсии? Мы узнали в Госдуме, ждать ли повторную индексацию в 2023 году

1 483

7

Первый ливень лета, Соль-Илецк и бедные уфимцы: итоги недели в Башкирии

4 628

2

Политика

Расследование

Завхоз главы Башкирии: кто следит за порядком на дачах Хабирова и сколько это стоит

2 458

10

В Минобороны предложили ставить на воинский учет без явки в военкомат: новости СВО за 4 июня

1 025

5

Первый небоскреб Уфы: как выглядят и сколько стоят квартиры в одном из самых высоких ЖК

6 628

33

Челябинск — потом: из-за аномальной жары в Башкирии перекроют участок трассы М-5

1 837

6

Спорт

Фоторепортаж

Сотни бегущих уфимцев и пустые улицы: фоторепортаж с летнего полумарафона

3 263

92

Неолофт с кинотеатром и бассейном: в Уфе выставили на продажу дом за 90 миллионов

4 731

26

«Только вернулись с прогулки»: военный самолет упал на детский сад — о страшной трагедии в СССР молчали 20 лет

2 079

15

«Ой, мама, что это?!»: очень красивая бабушка трех внуков танцует на пилоне и огромных каблуках — посмотрите на нее

1 457

4

Происшествия

Подробности

Обнаруженный на свалке в Башкирии младенец оказался мертворожденным

2 967

4

Работает почти как статины: ученые выяснили, какая диета снижает холестерин

1 332

Обсудить

В Башкирии из-за сильного града и ливня затопило село. Видео

9 416

7

Быстрый тест на скрытые таланты: посмотрите на форму своих ногтей

1 287

4

Происшествия

Подробности

Обнаруженный на свалке в Башкирии младенец оказался мертворожденным

2 967

4

Неолофт с кинотеатром и бассейном: в Уфе выставили на продажу дом за 90 миллионов

4 731

26

«Только вернулись с прогулки»: военный самолет упал на детский сад — о страшной трагедии в СССР молчали 20 лет

2 079

15

«Ой, мама, что это?!»: очень красивая бабушка трех внуков танцует на пилоне и огромных каблуках — посмотрите на нее

1 457

4

Спорт

Фоторепортаж

Сотни бегущих уфимцев и пустые улицы: фоторепортаж с летнего полумарафона

3 263

92

Работает почти как статины: ученые выяснили, какая диета снижает холестерин

1 332

Обсудить

В Башкирии из-за сильного града и ливня затопило село. Видео

9 416

7

Быстрый тест на скрытые таланты: посмотрите на форму своих ногтей

1 287

4

Все новости

Российские учителя жалуются на низкую и непредсказуемую заработную плату

Президент России Владимир Путин недавно вызвал недоумение, заявив, что в период экономической нестабильности после распада Советского Союза он иногда использовал свою машину в качестве такси, чтобы подзаработать.

«Иногда мне приходилось подрабатывать, — сказал Путин в фильме, показанном по государственному телевидению 12 декабря. — Я имею в виду подрабатывать на машине, как частный водитель. Об этом неприятно говорить, если честно, но, к сожалению, так оно и было».

Это был один из многих комментариев, в которых Путин, занимающий пост президента или премьер-министра с 1999 года, описал 1990-е годы как мрачное и отчаянное время. Кремль и государственные СМИ представили его спасителем России, указывая на рост 2000-х годов, подпитываемый нефтью, и относительное процветание, которое оно принесло.

Но Максим Михайлов, 23-летний учитель истории средней школы № 4 города Пскова, находится сегодня в аналогичном положении. Михайлов сказал Азаттыку, что зарабатывает около 18 000 рублей (245 долларов) в месяц за 37 рабочих часов в неделю. Поскольку он холост и ему не нужно платить за аренду, он может выжить.

«Если честно, — сказал он Азаттыку, — я подумываю стать таксистом.

Почти любая работа оплачивается лучше, чем работа учителем».

В 2012 году, вернувшись в Кремль на третий президентский срок после пребывания на посту премьер-министра, Путин подписал так называемые майские указы, в соответствии с которыми распорядился поднять зарплату учителям до уровня средней зарплаты в своем регионе. к 2018 году. Однако, по словам активистов профсоюза образования, этот указ не выполнен ни в одном из более чем 80 регионов России. Более того, наблюдаемое повышение коснулось учителей не за счет повышения базовой заработной платы, а за счет дополнительных выплат за дополнительные часы преподавания, проведения внешкольных программ, надбавок за заслуги и других надбавок.

«Официально в России насчитывается около 60 регионов, где базовая заработная плата учителя меньше установленного законом минимального размера оплаты труда (МРОТ)», — сообщил Даниил Кен, председатель независимого профсоюза «Альянс учителей». «Можно найти цифры от 5500 до 6500 рублей (от 75 до 88 долларов)».

В то же время инфляция в России растет, а стоимость основных потребительских товаров и услуг растет быстрее, чем прогнозировало правительство. По данным правительства, в октябре инфляция составила 8,1 процента, что более чем вдвое превышает прогноз. По данным Росстата, цены на овощи и фрукты за последний год выросли почти на 20 процентов.

Картофельный блин и 15 граммов хлеба

Александр Мамкин, дипломированный преподаватель сельскохозяйственного профессионального колледжа Курской области, решил привлечь внимание к этой проблеме, проведя эксперимент после того, как получил зарплату за месяц октябрь. Он хотел проверить, можно ли прожить целый месяц всего на 14 643 рубля (199 долларов).

Мамкин живет в частном доме в поселке Суджа. У него есть небольшой участок земли с садом, на котором он держит двух коз. Что касается основных продуктов питания, сказал он Азаттыку, он самодостаточен.

Платежная ведомость Мамкина за октябрь.

«Овощи, картофель, фрукты, огурцы и помидоры», — сказал он, перечислив продукты, которые он производит в свободное время. «Некоторые вещи мне нужно купить. Каждый месяц я стараюсь съедать 300 или 400 граммов грецких орехов и сухофруктов, потому что эти продукты заряжают энергией и дают мне силы продолжать работать. В магазине я, как правило, покупаю вещи, которые есть в продаже, у которых заканчивается срок годности…. Я сама пеку хлеб дома».

Но Мамкина интересовало, как учителя, живущие в городах, могут сводить концы с концами на типичную зарплату, как у него. О своем эксперименте он сообщил на своей странице в социальной сети «ВКонтакте» 23 ноября. 25 ноября ему сообщили, что местная полиция проводит расследование в отношении него по подозрению в «экстремизме».

Основанием для расследования стал антифашистский пост в социальной сети, иллюстрированный фотографией могилы, оскверненной свастикой — запрещенным экстремистским символом, — но Мамкин считает, что это была попытка местных властей запугать его, чтобы он покончил с собой. его зарплатный эксперимент.

Дело было прекращено 9 декабря, после того как история с экспериментом Мамкина попала в заголовки газет и привлекла внимание депутатов Госдумы.

Сам эксперимент был таким же недолгим.

После оплаты счетов Мамкин потратил около половины того, что осталось, на продукты.

Мамкин начал с того, что оплатил все свои основные счета за месяц — газ и электричество, интернет и телефон, плюс бензин, необходимый для поездки на работу. Его фонд до конца месяца тогда составлял 3440 рублей (47 долларов). Половину остатка он потратил на продукты.

Но тут случилась беда.

В его доме сломался тепловой насос, и он был вынужден купить новый за 3300 рублей (45 долларов США). А за антифриз для своей машины ему пришлось заплатить 500 рублей (7 долларов).

«Мой эксперимент удался, — сказал он, — потому что мне удалось доказать, что на такую ​​зарплату в России прожить невозможно. После того, как я купил все самое необходимое, потребовалась всего одна крошечная, неожиданная трата… чтобы поставить меня на грань голодной смерти».

7 декабря Мамкин разместил фотографию своего ужина: драник и 15 граммов хлеба.

«Проводить этот эксперимент было очень сложно, — сказал он Радио Свобода, — особенно учитывая стресс, психологическую и умственную нагрузку, которые естественным образом связаны с преподаванием».

Он прекратил эксперимент, потому что боялся, что, если он продолжит, «мне могут быть нанесены необратимые телесные повреждения».

«Здоровье, разум и жизнь сохранить в таких условиях было невозможно, — заключил он. — Хотя я понимаю, что есть люди, которые живут — и умирают — на эту сумму денег».

Никита Тушканов работал учителем обществознания в Коми области, пока его недавно не уволили, по его словам, за проведение пикета в поддержку находящегося в заключении лидера оппозиции Алексея Навального.

Он говорит, что работал 1 1/2 основной смены или 29 часов в неделю. Он также преподавал шахматы после школы. По его словам, его зарплата на вынос составляла около 43 000 рублей (585 долларов) в месяц. Средняя зарплата в Коми в 2020 году составила 55 972 рубля (762 доллара США).

«Если вы работаете только в одну смену, то ваша зарплата со всеми обычными надбавками составит максимум 25 000 (340 долларов США)», — сказал он. «Комната в коммуналке обойдется в 9 тысяч (123 доллара). На эти деньги было бы трудно выжить».

На усмотрение директора

Мамкин получил свою ноябрьскую зарплату — на этот раз 18000 рублей. Он сказал, что сумма, которую каждый учитель получает каждый месяц, в конечном итоге остается на усмотрение директора школы.

«Деньги выделяются, как сказал мне директор, тем, кто больше всего нуждается», — сказал Мамкин. «Когда я спросил бухгалтера, она сказала: «[Директор] решает, кто сколько получает, а мы просто подсчитываем». Если он говорит дать вам 50 000, мы отсчитываем 50 000. Если он говорит 11 000, мы платим 11 000».

«Мой эксперимент удался, потому что мне удалось доказать, что на такую ​​зарплату в России прожить невозможно», — говорит Мамкин.

Критики Кремля и эксперты по российской политике говорят, что власти используют перспективу бонусов как часть метода кнута и пряника, чтобы заставить учителей, а также других государственных служащих, чья низкая заработная плата делает их уязвимыми для давления, голосовать на выборах.

На вопрос Радио Свобода директор Суджанского сельскохозяйственно-технического института Евгений Харламов сказал, что Мамкин «получил ту зарплату, которую заработал».

«Я не могу сказать, какие зарплаты получают другие», — добавил он. «У нас есть учителя, которые зарабатывают больше, чем он, и учителя, которые зарабатывают меньше.

«Могу вас заверить, что 60 процентов моих учителей зарабатывают больше среднего, 30 процентов зарабатывают примерно в среднем, и лишь немногие зарабатывают меньше», — сказал Харламов.

Председатель Альянса учителей Кен отметил, что базовая заработная плата учителей — гарантированная и предсказуемая часть их дохода — в настоящее время составляет менее одной трети всей суммы, выплачиваемой педагогам каждый месяц.

«Среди педагогов популярно предложение перевернуть эту пирамиду вверх дном, — сказал он, — так, чтобы гарантированная часть составляла 70–80 % их дохода, а только 20–30 % приходились на призы, сверхурочные. , и все остальное. »

Встреча с заместителем губернатора

В тот же день, когда милиция прекратила расследование экстремистской деятельности, заместитель губернатора Курской области Виктор Карамышев посетил профтехучилище Мамкина и обсудил с ним вопросы оплаты труда учителей. Мамкин сказал, что встреча была «чрезвычайно позитивной, конструктивной и дружеской». По данным местных СМИ, Карамышев попросил Мамкина подготовить предложения по улучшению ситуации, которые затем будут обсуждаться на круглом столе экспертов.

Мамкин сказал, что обнародование этого дела было ключом к достижению этого успеха, и что огласка, вероятно, спасла его от уголовного преследования и крупного штрафа.

«Если бы не широкий общественный резонанс, если бы не помощь СМИ и активистов, я подозреваю, что эта информация никогда бы не дошла до Карамышева», — сказал он Азаттыку. «Я бы постепенно лишился всего, что они могли у меня забрать, и, вероятно, был бы оштрафован.

«Именно реакция общественности заставила их на минуту задуматься о том, как выглядит ситуация со стороны, и создала возможность для возможного повышения зарплаты учителей на руки», — добавил он.

Написано старшим корреспондентом РСЕ/РС Робертом Коулсоном на основе сообщения корреспондента Светланы Прокопьевой из отдела «Север.

Электронные платежные системы давно существуют в Интернете, а некоторым ошибкам в них уже двадцать лет. Мы нашли критические уязвимости, позволяющие украсть деньги и пополнить баланс. Сегодня мы разберем типичные реализации обработки платежей и связанные с этим вопросы безопасности.

Обзор платежных систем и типичных реализаций API

Мало кто знает, но первой (анонимной!) платежной системой была DigiCash, появившаяся еще в 1989 году, за ней в 1996 году последовала более известная (в основном среди кардеров) система E-gold.

Но вернемся в настоящее и перечислим основные современные крупные платежные системы/электронные платежные сервисы, позволяющие принимать платежи на собственном сайте:

• PayPal
• Вебмани
• YooMoney (ранее Яндекс.Деньги)
• Киви
• Алипай
• и т. д.

А также десятки менее известных систем с названиями, которые вам вряд ли знакомы, не говоря уже о появлении сотен новых, специализирующихся на криптовалютах.

Несмотря на кажущуюся простоту, процессинг платежей, с точки зрения создания защищенной программной реализации, представляет собой сложный процесс, который до сих пор вызывает проблемы как у крупных торговых площадок, так и у новых электронных платежных систем, которые периодически выходят на рынок с «новыми и удобными» API и другие способы интеграции. Как выглядит типичная обработка платежей? Во-первых, давайте взглянем на текущую реализацию, описанную PayPal, так называемую PayPal Express Checkout.

Эту реализацию можно считать относительно безопасной, и вот почему:

• Параметры платежа не передаются явно, вместо них используется токен
• Сервер платежной системы не отправляет результаты на какой-либо URL самостоятельно, вместо этого ваш сайт должен их запросить и обработать ответ
• В целом схема взаимодействия реализована таким образом, что у потенциального разработчика минимум возможностей «выстрелить себе в ногу»

А теперь давайте посмотрим на схему, которую предлагает WebMoney:

Схема процесса не имеет никакого смысла. Также на схеме не отражен ряд нюансов, например подписание запроса. Или что URL-адрес, который получает техническую платежную информацию от платежной системы, и URL-адрес, на который перенаправляется пользователь (для просмотра платежных реквизитов), должны быть разными. Архитектура, используемая WebMoney, часто возникает где-то еще, в той или иной форме, обычно в других платежных системах, созданных в Содружестве Независимых Государств.

Типичные проблемы

Чрезмерная сложность процесса оплаты приводит к финансовым потерям. Например, 10 лет назад я опубликовал заметку о проблеме интеграции системы Global Collect Services с WebMoney, которая позволяла подтверждать платежи без фактической оплаты в Steam, Battle.net и некоторых других платформах.

В чем проблема? Ранее я упоминал URL-адреса на стороне продавца, которые должны принимать платежную информацию. Согласно документации WebMoney имеет три сущности:

• URL-адрес успеха — URL-адрес (на сайте продавца), на который будет перенаправлен веб-браузер покупателя в случае успешной оплаты в сервисе Web Merchant Interface. URL-адрес может иметь префикс «http://» или «https://».
• Fail URL — URL (на сайте продавца), на который будет перенаправлен интернет-браузер покупателя, если платеж в сервисе Web Merchant Interface по каким-либо причинам не был завершен. URL-адрес может иметь префикс «http://» или «https://».
• URL-адрес результата — URL-адрес (на сайте продавца), на который сервис Web Merchant Interface отправляет HTTP-POST или SMTP-уведомление о платеже с его полными реквизитами. URL-адрес может иметь префикс «http://», «https://» или «mailto:».

Что делают некоторые разработчики после прочтения документации:

1. Использовать единый URL, что позволяет выяснить адрес обработчика (также обработчик, включая Result URL, может отображаться в платежной форме на сайте WebMoney, но это происходит не всегда и, вероятно, зависит от настроек).
2. Неправильно реализовать проверку подписи для запроса, который приходит на URL-адрес результата. Это позволяет клиенту заменить платежные реквизиты.
3. Проверьте подпись, но не проверяйте сумму, отправленную на URL-адрес результата. Это позволяет вам получить предмет стоимостью 100 долларов, заплатив, например, 0,01 доллара.
4. Проверить подпись, сумму, но не формат переводимых сумм. Помните, я упоминал отправку параметров платежа через браузер клиента? WebMoney корректно обрабатывает значение 1e1 или 0xFF, но сравнение таких чисел на старых версиях PHP с учетом нюансов сравнений в языке PHP может привести к самым неожиданным последствиям.
5. Не совсем проблема платежной системы, но как насчет условий гонки и идентичных внутренних платежных идентификаторов на сервере продавца? Привет, умножение баланса.
6. …

Подпись заявок платеж, номер счета и другие параметры.

После нажатия кнопки «Далее» и авторизации в системе стала доступна информация об URL, отвечающем за обработку результата платежа (URL результата).

Пользователь мог сгенерировать запрос к целевому URL, который согласно спецификации WebMoney (ну почти) сообщил платежной системе об успешном проведении платежа.

Прибыль!

Платежная система Global Collect столкнулась с несколькими проблемами:

1. Известный унифицированный обработчик результатов платежей.
2. Отсутствие проверки подписи (и отсутствие подписи в запросе как таковой).
3. Использование данных, передаваемых через браузер пользователя, в качестве доверенного источника платежной информации (хотя, согласно спецификациям WebMoney, это может осуществляться через обратный вызов, поступающий с серверов WebMoney).

Все это позволяло совершать фиктивные транзакции и покупать без оплаты все, что использовало процессинг Global Collect. Проблема устранилась только через ~2 недели активной эксплуатации.

Еще одна похожая проблема, но немного сложнее, недавно была обнаружена в Smart2Pay.
Другой проблемой, связанной с подписью запроса, является атака с расширением длины.

Согласно Википедии, это тип атаки на функцию хеширования, которая добавляет новую информацию в конец исходного сообщения. В этом случае новое значение хэша можно вычислить, даже если содержание исходного сообщения остается неизвестным. Вы можете узнать больше здесь. С проблемой столкнулись всего пару раз, когда разработчики решили реализовать свою «крутую» подпись запросов в стиле ВКонтакте (кстати, не сами изобретавшие алгоритм). Ниже приведена иллюстрация того, как правильно сгенерировать подпись и как «выстрелить себе в ногу».

Для эксплуатации можно использовать один из следующих инструментов:

• https://github.com/bwall/HashPump
• https://github.com/iagox86/hash_extender

Раскрытие «URL-адреса результата»

Полный URL-адрес, используемый платежной системой для уведомления сайта об успешном зачислении платежа, отображался с параметрами (включая подпись) на веб-сайте, где было доступно пополнение через WooPay (через SMS).
Логика достаточно проста; вам нужно найти способ вызвать исключение, чтобы веб-приложение отображало ошибку.
Если вы выберете оплату через SMS и введете случайный неверный номер телефона, вы получите:

Повторите HTTP-запрос пару сотен раз. После блокировки нашего клиента веб-приложение выдало исключение. Его текст содержал секретный URL. Следуя ему, мы смогли завершить оплату.

Атрибуты платежа

Перейдем к проблеме проверки реквизитов платежа.

Один из вариантов интеграции с YooMoney (бывший Яндекс.Деньги) — форма перевода денег или ее старая реализация. Его можно определить по наличию HTTP-запросов к следующим URL-адресам:

 https://yoomoney.ru/eshop.xml
https://yoomoney.ru/quickpay/confirm.xml 

Сразу при отправке запроса нужно подставить в него сумму платежа:

Существует большая вероятность, что платеж пройдет успешно. А потом сайт либо проверяет сумму, либо нет. Поскольку метаданные платежа содержат идентификатор пользователя и/или идентификатор платежа, этого достаточно, чтобы что-то купить.

Небольшой пример:

На скриншоте показана подписка бота голосового помощника Telegram, но сумма платежа не проверяется, что позволяет приобрести его по произвольной цене. Изменить 1990 до 19 , чтобы получить его очень дешево. Такого рода уязвимости довольно распространены (например, в Telegram много известных бот-сервисов, которые страдают такой же проблемой), в том числе и на популярных зарубежных ресурсах (старый пример — покупка лицензии Minecraft). С таким еще можно столкнуться даже в 2022 году.

Еще один актуальный пример, но связанный не с суммой платежа, а скорее с валютой, присутствовал в QIWI. Баланс кошелька можно было пополнить, отправив СМС на короткий номер, а валюта передавалась через браузер клиента в несколько этапов (выбор валюты и суммы, отправка СМС), где сервер доверял данным клиента. В итоге на счет зачислили 100$, за платеж 100 руб.

А как насчет 2022 года?
Заглянем в чат армянского банка https://t. me/Inecobank_forum/6333:

Здравствуйте! Есть ли способ перевести деньги с рублевого счета сразу на карточный счет в драмах (минуя текущий банковский счет в драмах), чтобы не нарушать валютное законодательство РФ?

В общем, до того, как мне сказали, что это невозможно, я сделал перевод 100 000 рублей со своего расчетного счета на картсчет в драмах по его реквизитам. Начислено 100 000 драмов. Списано 100 000 рублей. Все в ИНЭКО. Видимо нет автоматической проверки валюты платежа. Сейчас разбираюсь с поддержкой. Мораль - не делай этого.

Это означает, что проблема все еще актуальна.

Сравнение форматов и типов

Интересная проблема обнаружилась на известном в определенных кругах сервисе Anticaptcha (сервис для разгадывания капч за деньги с интерфейсом API). Личный кабинет Пользователя позволял совершать ряд операций, в том числе вывод неиспользованного остатка на WebMoney. WebMoney нормально обрабатывает сумму платежа в различных форматах (например, 1e1 или 0xFF 9). 0262), но сравнение таких чисел, особенно в старых версиях PHP, с учетом нюансов сравнения в PHP, имеющем «самый совершенный код», приводило к самым неожиданным последствиям. В шестнадцатеричной системе счисления сравнение текущего баланса с суммой, запрошенной на вывод, работало некорректно, что позволяло балансу счета уйти в минус.
Пример фрагмента кода PHP, который может привести к этому:

Если ввести сумму 1e9 имея баланс $20 , логика проверки убедится, что 20>19 , удалив все, кроме цифр, но платежная система будет рассматривать 1e9 как 1000000000 .

Еще одна ошибка — особенности приведения типов.

NodeJS — еще один пример языка с динамической типизацией. При добавлении строки к числу она объединяет 1+"1" = "11" . Однако, если мы вычтем число из строки, строка преобразуется в число 9.0261 "11"-1 = 10 .
Самый популярный формат обмена данными — JSON:

 {"количество":100} 

. Очевидно, что этот JSON правильный: есть параметр суммы со значением 100. Но это также будет действительный JSON:

 {"количество": "100"} 

Здесь тип параметра суммы — строка. В зависимости от алгоритма обработки JSON (кстати, интересная относительно тематическая статья) кто-то может добавить значение этого параметра к числу 1337 , и в результате получится 1337100 , а не то, что было задумано изначально.

Ошибки бизнес-логики

Инициирован платеж в ДБО, для его подтверждения необходимо ввести код из СМС. Платеж сохраняется как незавершенный и доступен для редактирования в мобильном приложении ДБО. Редактируем платеж, затем в браузере вводим код подтверждения, и окончательный перевод осуществляется одной суммой, а списание со счета другой.
Другой пример:

1. Откройте интерфейс пополнения баланса (баланс 1000$, сумма пополнения 100$).
2. Веб-приложение запоминает ваш текущий баланс.
3. Тем временем тратим деньги (отправляем на второй счет).
4. После завершения транзакции баланс составит 1100 долларов США.

Отдельного упоминания заслуживает логика корзины на ресурсах, поддерживающих несколько валют. Уязвимость, которая была обнаружена в региональном магазине Xbox несколько лет назад (и вновь появлялась еще пару раз после исправления):

1. Вы добавляете товар в корзину по минимальной цене в рублях.
2. Вы ищете в магазине дорогие игры, цены на которые указаны в долларах США.
3. Добавьте их в корзину.
4. Магазин рассчитывает общую стоимость товаров, но товары с ценами в долларах США пересчитываются в рубли в соотношении один к одному.

На скриншоте выше видно, что стоимость игр в корзине указана в рублях, но реальная сумма намекает, что она должна была быть в долларах (или должна быть совсем другой после конвертации по соответствующему курсу).

Голоса ВКонтакте начислены путем отправки платного СМС при почти нулевом балансе. Вы отправляете смс, оператор связи не может забрать деньги (овердрафта нет), но голоса все равно пополняются.
Еще один вектор через СМС — это перевод со своего счета на чужой счет в платежной системе QIWI. Это было сделано путем отправки сообщения на специальный короткий номер:

Перевести деньги другому пользователю. Отправьте SMS на номер 7494 с текстом «перевод» или «перевод», введите номер кошелька и сумму перевода через пробел. Например: перевод 9161234567 500. Вам придет смс с одноразовым кодом - отправьте обратно.

Этот короткий номер на самом деле является псевдонимом реального номера телефона, который используется SMS-шлюзом для интеграции с API. Примените немного социальной инженерии в службу поддержки:

Добрый день. Полный номер +7 925 424 74 94.

Тип запроса: другая тема.
Версия клиентского ПО: WEB v3.0.
Сообщение: Добрый день! Есть ли альтернатива номеру 7494 — включена услуга «Контент-блок» (отправка и получение платных SMS/MMS с коротких номеров запрещены, а также звонки на платные короткие номера), и пользоваться номером очень удобно, но нельзя, потому что номер короткий. Спасибо.

Следующим шагом является использование сервисов спуфинга (подмена Caller ID) для отправки SMS с номера счета с большим количеством денег. Этот метод никогда не проверялся мной, хотя в теории он выглядит чрезвычайно многообещающе. Некоторые специалисты говорят, что можно привязать кредитную карту через СМС (аналогично), а потом слить деньги с карты.

Теперь рассмотрим операцию возврата. Если рассматривать канонический процесс возврата, то становится очевидным, что на каждом этапе можно пропустить или неправильно реализовать часть проверок, что приведет к финансовым потерям.

На практике были сайты, где сумма возврата равнялась текущей цене товара. Вместо этого они должны были использовать фактически уплаченную сумму из соответствующей записи транзакции. Вместе с периодическими скидками это привело к очевидным результатам. Ситуация редкая, но иногда встречается в той или иной форме.

Округление, целочисленное переполнение и отрицательные числа

Частой категорией проблем являются ошибки округления. Типичные проблемы с округлением могут выглядеть так:

1. Пользователь переводит 0,29 рубля в доллары США.
2. Если стоимость одного доллара составляет 60 рублей, сумма в 0,29 рубля соответствует 0,00483333333333333333333333333 долларов США.
3. Эта сумма будет округлена до двух знаков после запятой, т.е. до 0,01 доллара США (один цент).
4. Затем пользователь конвертирует 0,01 доллара США обратно в рубли и получает 0,60 рубля.
5. Таким образом, пользователь «выигрывает» 0,31 руб.

Проблема по-прежнему встречается в крупных финансовых организациях (различных банках и биржах).

Если присмотреться, то можно увидеть уязвимость, хотя она уже исправлена. Переполнение и баги с транзакциями с отрицательной суммой могут возникать периодически, даже у банков из топ-100 списка. Транзакция с отрицательной суммой — банальный баг при работе со знаковыми числами, и да, это еще бывает и .
Менее тривиальный пример переполнения — расчет суммы заказа при добавлении большого количества товаров в корзину.

Другой пример — совместимость больших номеров при переводе между системами. В HTTP-запросе передаваемое число будет строкой, но обработка больших чисел может быть другой, т.е. запрос на пополнение отправляется больше, чем INT_MAX+2, на локальной системе число обрабатывается корректно, но платежная система получает счет на оплату 932+100 ?
Кстати, иногда можно ошибиться в цифрах и уйти в минус, так и не получив прибыли.

Состояние гонки

Давайте перейдем к вопросу о состоянии гонки. Согласно Википедии, состояние гонки или опасность гонки — это состояние электроники, программного обеспечения или другой системы, при котором существенное поведение системы зависит от последовательности или времени других неконтролируемых событий. Это становится ошибкой, когда одно или несколько возможных действий нежелательны.

Условно канонический пример:

1. Выполняем транзакцию по переводу средств с доступного баланса.
2. Мы выполняем одну и ту же операцию N раз, и допустим, что баланс должен закончиться при (N-1)-м запросе или ранее. Отправка запросов с минимальной задержкой может использовать состояние гонки и преодолеть это ограничение (здесь на помощь приходят HTTP-конвейерная обработка, возможности HTTP2 (несколько запросов в рамках одной TCP-сессии) и т. д.).
3. Получаем отрицательный баланс, что недопустимо в обычных условиях.

Небольшой пример, связанный с обменом криптовалют.

Алгоритм работы был следующим:

1. Ставим тейк профит 0,1 BTC, при цене биткойна 100 000$.
2. Биржа снимает (блокирует) 0,1 BTC с баланса счета.
3. Удалим тейк-профит, отправив 438695936458926734 запроса.
4. Биржа «возвращает» 0,1 × N BTC, где N — количество одновременных операций.

Эта категория проблем не характерна для финансовых операций. Сюда же можно отнести проблемы типа TOCTOU, когда, например, приложение проверяет подпись файла, потом проходит какое-то время, а потом приложение считывает содержимое файла (которое к тому времени может подставиться).

Одна из проблем присутствовала на xss.is в системе перевода BTC между аккаунтами.

Вы можете использовать Burp Suite с плагином Turbo Intruder для тестирования. А подробнее об этой категории проблем вы можете прочитать в этой статье.

Итак, вносим 0,1337 BTC и отправляем много запросов на перевод.

Мы видим, что перевод был совершен больше раз, чем это было возможно при ограниченной сумме денег на балансе:

Отправляем криптовалюту обратно. Мы продолжаем переводить деньги туда и обратно между разными счетами, генерируя деньги из воздуха:

Наконец, мы получаем гораздо больше денег на баланс (2,1337 BTC). Однако в реальности такого депозита не было, поэтому можно вывести столько, сколько есть на подключенном кошельке (со всеми депозитами пользователя).

Думаю, есть и другие форумы, где ввод и вывод возможен без ручного подтверждения.

Сводка

Внедрение безопасной обработки платежей — сложная задача, с которой должны справиться опытные разработчики.