stripe webhook bypass

  1. Сергей Попов

    Статья Проверка подписи Stripe webhook: bypass-техники и реальные CVE на пентесте

    Прогнал Semgrep с кастомным правилом по 40 open-source проектам с Stripe-интеграцией на GitHub - 14 из них не вызывали constructEvent() вообще. Webhook-эндпоинт принимал POST, парсил JSON, читал type: "payment_intent.succeeded" и запускал бизнес-логику: активация подписки, выдача доступа...