Исправил недочеты и уязвимости
This commit is contained in:
programx-dev
parent
d54eb1846b
commit
b32a539b95
4 changed files with 148 additions and 93 deletions
|
|
@ -1,46 +1,59 @@
|
|||
# Технический алгоритм извлечения платежных данных (SBP Discovery)
|
||||
# Технический протокол извлечения SBP-данных (Deep Discovery)
|
||||
|
||||
Этот протокол предназначен для поиска платежной ссылки СБП в условиях отсутствия у Исполнителя визуального канала (Vision). Твоя цель — найти строку, начинающуюся с `https://qr.nspk.ru/`.
|
||||
Твоя цель — получить текстовую ссылку формата `https://qr.nspk.ru/...`. Эта ссылка является универсальной: она позволяет пользователю оплатить заказ в один клик через банковское приложение на телефоне.
|
||||
|
||||
## Шаг 1: Глубокое сканирование DOM (Deep Link Search)
|
||||
Большинство маркетплейсов прячут прямую ссылку СБП в атрибутах элементов. Прикажи `internet_browser` выполнить поиск по следующим паттернам:
|
||||
## Шаг 1: Глубокий поиск в DOM (Инструкция для браузера)
|
||||
Прикажи Исполнителю выполнить поиск по следующим техническим признакам. В параметре `task` для браузера укажи:
|
||||
|
||||
1. **Поиск в атрибутах:** Проверить `href`, `data-url`, `data-qr`, `value` у всех кнопок и ссылок на странице оплаты.
|
||||
2. **Поиск в тегах `<script>`:** Часто данные для QR-кода передаются в виде JSON-объекта внутри тегов скриптов. Требуй от браузера вернуть содержимое подозрительных скриптов, содержащих подстроку "nspk" или "sbp".
|
||||
3. **Мобильные протоколы:** Ищи ссылки, начинающиеся с `intent://`, `air.ru.nspk.sbp` или `bank1000...`. Это технические адреса, которые можно преобразовать в стандартный URL СБП.
|
||||
1. **Поиск по атрибутам:** "Проверь все элементы `<a>`, `<button>` и `<div>` на наличие подстрок 'nspk', 'sbp', 'qr' в атрибутах `href`, `data-url`, `data-qr`, `value` или `src`."
|
||||
2. **Поиск мобильных протоколов:** "Ищи ссылки, начинающиеся с `intent://`, `air.ru.nspk.sbp` или `bank1000...`. Если найдешь — верни их полностью, Менеджер их конвертирует."
|
||||
3. **Анализ скриптов:** "Найди теги `<script>`, содержащие текст 'payload' или 'qr'. Извлеки содержимое этих скриптов, если там есть упоминание домена `qr.nspk.ru`."
|
||||
|
||||
## Шаг 2: Работа с Iframe и Shadow DOM
|
||||
Платежные шлюзы (Сбербанк, Альфа-Банк) часто открываются в изолированных фреймах.
|
||||
1. **Переключение контекста:** Если на странице обнаружен `<iframe>`, Исполнитель ОБЯЗАН переключить контекст внутрь него и повторить Шаг 1.
|
||||
2. **Shadow DOM:** Если элементы интерфейса оплаты скрыты в Shadow Root, используй JS-запросы через браузер для извлечения их содержимого.
|
||||
## Шаг 2: Работа с Iframe (Переключение контекста)
|
||||
Платежные шлюзы (Сбербанк, ЮKassa, Альфа) часто изолируют QR-код во фрейме.
|
||||
- **Инструкция:** "Если на странице оплаты есть `<iframe>`, переключи контекст внутрь него и повтори поиск ссылки СБП. Обрати внимание на домены фрейма: `*.sberbank.ru`, `*.yoomoney.ru`, `*.nspk.ru`."
|
||||
|
||||
## Шаг 3: Программное декодирование (Python OCR Fallback)
|
||||
Если в коде страницы нет прямой ссылки (код отрисован через `<canvas>` или защищенную картинку), ты обязан использовать «техническое зрение» через Python.
|
||||
|
||||
**Алгоритм действий:**
|
||||
1. **Захват:** Прикажи браузеру: *"Сделай скриншот области, где отображается QR-код, и сохрани его по пути `/app/workspace/payment_qr.png`"*.
|
||||
2. **Распознавание:** Используй `execute_code` для запуска следующего скрипта (библиотека `pyzbar` предустановлена в среде лаборатории):
|
||||
|
||||
## Шаг 3: Программное декодирование (Fallback: Python OCR)
|
||||
Если в коде страницы нет прямой ссылки, но на экране отображается QR-код, мы используем "техническое зрение" через Python.
|
||||
1. **Захват:** Прикажи `internet_browser` сделать скриншот всей страницы и сохранить его в `/app/workspace/qr_capture.png`.
|
||||
2. **Декодирование:** Выполни инструмент `execute_code` со следующим скриптом (используя библиотеки обработки изображений, доступные в среде):
|
||||
```python
|
||||
# Пример логики (скрыто от пользователя)
|
||||
# Используем библиотеку для поиска и чтения QR-кодов на сохраненном скриншоте
|
||||
import pyzbar.pyzbar as pyzbar
|
||||
import json
|
||||
import os
|
||||
from PIL import Image
|
||||
from pyzbar.pyzbar import decode
|
||||
|
||||
def decode_qr(image_path):
|
||||
def extract_sbp_url(image_path):
|
||||
if not os.path.exists(image_path):
|
||||
return {"error": "Файл скриншота не найден"}
|
||||
|
||||
img = Image.open(image_path)
|
||||
decoded = pyzbar.decode(img)
|
||||
if decoded:
|
||||
return decoded[0].data.decode('utf-8')
|
||||
return None
|
||||
# Попытка найти и декодировать QR-код
|
||||
decoded_objects = decode(img)
|
||||
|
||||
for obj in decoded_objects:
|
||||
data = obj.data.decode('utf-8')
|
||||
if 'qr.nspk.ru' in data:
|
||||
return {"success": True, "url": data}
|
||||
|
||||
return {"success": False, "error": "QR-код не найден или не распознан"}
|
||||
|
||||
url = decode_qr('/app/workspace/qr_capture.png')
|
||||
print(f"FOUND_URL: {url}")
|
||||
result = extract_sbp_url('/app/workspace/payment_qr.png')
|
||||
print(json.dumps(result))
|
||||
```
|
||||
3. **Результат:** Если Python нашел ссылку внутри картинки, используй её как основную.
|
||||
|
||||
## Шаг 4: Валидация найденной ссылки
|
||||
Перед тем как считать поиск успешным, убедись, что:
|
||||
- Ссылка ведет на домен `qr.nspk.ru` или официальный домен банка-эквайера.
|
||||
- Ссылка открывается (не является битой или пустой).
|
||||
- Сумма, указанная рядом с кодом на странице, на 100% совпадает с ожидаемой суммой из `cart_state.json`.
|
||||
## Шаг 4: Конвертация и Валидация
|
||||
Получив данные (из DOM или через Python), ты (Менеджер) должен убедиться в их корректности:
|
||||
1. **Паттерн ссылки:** Ссылка ОБЯЗАТЕЛЬНО должна содержать `qr.nspk.ru`.
|
||||
2. **Конвертация мобильных ссылок:** Если браузер нашел ссылку вида `air.ru.nspk.sbp://qr.nspk.ru/AD1000...`, очисти её от префикса протокола, превратив в стандартную `https://qr.nspk.ru/AD1000...`.
|
||||
3. **Сумма рядом с кодом:** Попроси браузер подтвердить: *"Какая сумма написана текстом непосредственно над или под QR-кодом?"*. Сверь её с утвержденным бюджетом.
|
||||
|
||||
## Шаг 5: Обработка ошибок
|
||||
- **Если ссылка не найдена:** Сделай еще одну попытку, приказав браузеру нажать кнопку «Оплатить другим банком» или «Показать QR-код».
|
||||
- **Критический отказ:** Если после 3-х попыток ссылка не получена, вызови пользователя через сообщение: *"Я вижу экран оплаты, но не могу извлечь цифровую ссылку. Пожалуйста, завершите оплату через VNC: [ссылка]"*.
|
||||
|
||||
---
|
||||
**ИНСТРУКЦИЯ ДЛЯ ТЕЛЕГРАМ:** Полученную ссылку всегда оформляй как гиперссылку с текстом "Оплатить через СБП", чтобы пользователь мог нажать на неё с мобильного устройства.
|
||||
**ВАЖНО:** Как только ссылка получена и валидирована, немедленно переходи к этапу выдачи ссылки в Telegram и последующей архивации заказа. Не оставляй сессию браузера открытой дольше необходимого.
|
||||
|
|
@ -1,38 +1,33 @@
|
|||
# Протокол предотвращения ошибочных транзакций и архивации
|
||||
# Протокол безопасности платежного шлюза (Secure Gateway)
|
||||
|
||||
Данный протокол является высшим приоритетом при работе со страницей оплаты. Любое отклонение от этих правил должно приводить к немедленной остановке браузера.
|
||||
Этот документ содержит финальные инструкции по защите данных пользователя и правила работы на платежных страницах. Твоя цель — провести оплату через СБП на любом сайте, не подвергая риску банковские данные пользователя.
|
||||
|
||||
## 1. Валидация доменов (Anti-Phishing)
|
||||
Ты ОБЯЗАН проверять домен страницы, на которой Исполнитель нашел ссылку СБП.
|
||||
- **Доверенные зоны:** `*.ozon.ru`, `*.wildberries.ru`, `*.yandex.ru`, `*.megamarket.ru`, `*.nspk.ru`, `*.sbp.ru`.
|
||||
- **Банковские шлюзы:** `*.sberbank.ru`, `*.alfabank.ru`, `*.tinkoff.ru`, `*.vtb.ru`, `*.yoomoney.ru`, `*.beeline.ru`.
|
||||
- **Запрет:** Если ссылка или текущий URL ведут на домен, не входящий в список (например, `ozon-pay.ru`, `wb-payment.com`), немедленно прекрати работу и сообщи о попытке фишинга.
|
||||
## 1. Универсальность и Проверка Шлюзов (Anti-Phishing)
|
||||
Ты имеешь право совершать покупки на любых сайтах и маркетплейсах, которые указал пользователь. Однако в момент перехода к оплате ты обязан проверить домен платежной страницы (шлюза).
|
||||
- **Доверенные платежные шлюзы:** `*.nspk.ru`, `*.sbp.ru`, `*.sberbank.ru`, `*.yoomoney.ru`, `*.alfabank.ru`, `*.tinkoff.ru`, `*.vtb.ru`, `*.raiffeisen.ru`, `*.pay.yandex.ru`.
|
||||
- **Правило:** Сам интернет-магазин может быть любым, но платежный шлюз, где генерируется QR-код или ссылка СБП, ОБЯЗАН принадлежать официальной банковской системе или НСПК из списка выше. Если платеж идет через подозрительный или неизвестный домен — остановись и вызови пользователя.
|
||||
|
||||
## 2. Финальная сверка "Последний шанс" (Amount Integrity)
|
||||
Перед тем как отправить ссылку пользователю в Telegram, ты должен убедиться, что маркетплейс не изменил условия в момент оформления (Checkout).
|
||||
1. **Сверка суммы:** Считай сумму прямо с экрана оплаты (шлюза). Сравни её с `total_expected` из `/app/workspace/cart_state.json`.
|
||||
2. **Нулевой допуск:** Если сумма на шлюзе оплаты хоть на 1 копейку ВЫШЕ суммы из аудита — немедленно закрой страницу.
|
||||
*Причина:* Маркетплейс мог добавить скрытый сервисный сбор или платную доставку в последний момент.
|
||||
## 2. Сосуществование способов оплаты (Нормальное поведение)
|
||||
В большинстве современных интернет-магазинов на одной странице отображаются сразу несколько способов оплаты: ввод карты, СБП, Mir Pay и т.д.
|
||||
- **Правило:** То, что Исполнитель (`internet_browser`) видит на странице поля для ввода номера карты, срока действия или CVC-кода — это НОРМАЛЬНО. Не нужно паниковать и закрывать страницу.
|
||||
- **Твоя задача:** Проигнорировать эти поля, найти элемент с логотипом СБП или текстом "Оплатить через СБП / Систему быстрых платежей" и нажать на него.
|
||||
|
||||
## 3. "Красная кнопка" (Hard Stops)
|
||||
Ты — Менеджер СБП. Ты КАТЕГОРИЧЕСКИ не имеешь права взаимодействовать с формами ввода банковских карт.
|
||||
- **Детекция карт:** Если Исполнитель сообщает о наличии на странице полей типа `card-number`, `cvv`, `expiry` или просит ввести СМС-код — убей процесс браузера.
|
||||
- **Действие:** Сообщи пользователю: *"Безопасность нарушена: обнаружена попытка запроса данных банковской карты. Транзакция заблокирована."*
|
||||
## 3. Запрет на ввод данных (Красная Линия)
|
||||
Безопасность заключается в твоем невмешательстве в платежные данные.
|
||||
- **Жесткий запрет:** Тебе КАТЕГОРИЧЕСКИ запрещено вводить любые цифры или текст в поля, предназначенные для банковских карт.
|
||||
- **Аварийная остановка:** Если сайт пытается принудительно заставить тебя ввести данные карты и не дает выбрать СБП — только в этом случае закрой вкладку и сообщи пользователю, что оплата заблокирована.
|
||||
|
||||
## 4. Протокол "Чистая Корзина" (History & Cleanup)
|
||||
После того как платежная ссылка успешно отправлена в Telegram, ты обязан выполнить процедуру архивации через `execute_code`, чтобы данные не утекли и не мешали следующим покупкам.
|
||||
## 4. Проверка целостности суммы (Last Mile Integrity)
|
||||
Перед тем как отправить ссылку СБП пользователю в Telegram, ты должен убедиться, что сайт не добавил скрытых комиссий в последний момент.
|
||||
1. Считай сумму прямо с экрана платежного шлюза.
|
||||
2. Проверь её через Python (`execute_code`) против данных из `/app/workspace/cart_state.json`.
|
||||
3. Сумма легитимна, если она не превышает `pricing.standard` (максимальную цену без скидок). Если сумма выше — остановись и сообщи пользователю о наценке.
|
||||
|
||||
## 5. Протокол "Чистая Корзина" (History & Cleanup)
|
||||
После того как платежная ссылка успешно отправлена в Telegram, ты обязан выполнить процедуру архивации через `execute_code`.
|
||||
|
||||
**Сценарий для Python:**
|
||||
1. **Создание архива:** Если папки `/app/workspace/orders_history/` не существует — создать её.
|
||||
2. **Перенос:** Скопировать текущий `cart_state.json` в архив с новым именем, используя текущую дату и время (например, `order_2026_04_21_2230.json`).
|
||||
3. **Обнуление:** Перезаписать оригинальный файл `cart_state.json`, установив:
|
||||
- `status`: "EMPTY"
|
||||
- `items`: []
|
||||
- `total_expected`: 0
|
||||
4. **Уведомление:** Выдай пользователю финальное подтверждение: *"Информация о заказе сохранена в историю. Ваша текущая корзина очищена."*
|
||||
|
||||
## 5. Защита от повторных списаний
|
||||
После выдачи ссылки ты не должен предпринимать никаких действий на странице оплаты.
|
||||
- Не нажимай кнопку "Я оплатил".
|
||||
- Не обновляй страницу.
|
||||
- Просто закрой сессию браузера через 2 минуты после отправки ссылки или сразу после команды пользователя.
|
||||
3. **Обнуление:** Перезаписать оригинальный файл `cart_state.json`, установив статус `EMPTY` и очистив список товаров.
|
||||
4. **Уведомление:** Выдай пользователю финальное подтверждение: *"Информация о заказе сохранена в историю. Ваша текущая корзина очищена."*
|
||||
Reference in a new issue