quickpos 1.0.912 → 1.0.913

package/examples/example-shopier-card.js

@@ -0,0 +1,67 @@
+const Shopier = require('../lib/shopier_card'); // Dosya yolu
+
+// 1. Başlatma (Config)
+const shopier = new Shopier({
+  website: '1',
+  apiKey: 'XXXXX',
+  apiSecret: 'XXXXXX'
+});
+
+// 2. Ödeme Oluşturma (Tüm veriler tek nesnede)
+const run = async () => {
+    try {
+        const result = shopier.createPayment({
+            amount: 25.50,
+            currency: 'EUR', // Opsiyonel, varsayılan: TRY, DESTEKLENEN: TRY, USD, EUR
+            orderId: `TEST-${Math.floor(Math.random() * 1000000)}`, // Opsiyonel
+            product_name: 'Bakiye Yükleme',
+            buyer: {
+                first_name: 'Ahmet',
+                last_name: 'Yılmaz',
+                email: 'ahmet@mail.com',
+                phone: '05555555555',
+                id_nr: '11111111111'
+            },
+            billingAddress: {
+                address: 'Kadikoy Sokak No 1',
+                city: 'Istanbul',
+                country: 'Turkiye',
+                postcode: '34000'
+            },
+            shippingAddress: {
+                address: 'Kadikoy Sokak No 1',
+                city: 'Istanbul',
+                country: 'Turkiye',
+                postcode: '34000'
+            }
+        });
+
+        // result.data.html -> Bu HTML string'i frontend'e (res.send) olarak dönmelisin.
+        console.log(result.data.html); 
+        return result;
+    } catch (err) {
+        console.error(err);
+    }
+};
+const app = require('express')();
+app.use(require('body-parser').urlencoded({ extended: false }));
+app.use(require('body-parser').json());
+
+app.get('/', async (req, res) => {
+    let result = await run();
+    res.send(result.data.html); // Ödeme formunu gönder
+});
+
+app.listen(81, () => {
+    console.log('Server running on http://localhost:81');
+});
+
+// 3. Callback (Webhook) İşleme
+// app.post('/callback/shopier', (req, res) => {
+//    try {
+//       const verified = shopier.handleCallback(req.body);
+//       if(verified.success) {
+//          // Siparişi onayla
+//       }
+//    } catch(e) { ... }
+// });

package/lib/billplz.js

@@ -0,0 +1,79 @@
+const axios = require('axios');
+
+class Billplz {
+  constructor(config) {
+    this.config = config || {};
+    const requiredFields = ['apiKey'];
+    for (let field of requiredFields) {
+      if (!config[field]) throw new Error(`Missing required field: ${field}`);
+    }
+
+    this.apiKey = config.apiKey;
+    this.collectionId = config.collectionId || 'your-default-collection-id'; // Kullanıcı kendi collection ID'sini vermeli
+    this.baseUrl = config.sandbox ? 'https://www.billplz-sandbox.com/api/v3' : 'https://www.billplz.com/api/v3';
+  }
+
+  async createPayment(paymentData) {
+    try {
+      const data = {
+        collection_id: this.collectionId,
+        email: paymentData.email,
+        name: paymentData.name,
+        amount: Math.round(paymentData.amount * 100), // Billplz cents kullanır, ama MYR için sen
+        description: paymentData.description || 'Payment',
+        callback_url: paymentData.callback_link,
+        redirect_url: paymentData.redirect_link
+      };
+
+      const response = await axios.post(`${this.baseUrl}/bills`, data, {
+        auth: {
+          username: this.apiKey,
+          password: ''
+        },
+        headers: {
+          'Content-Type': 'application/x-www-form-urlencoded'
+        }
+      });
+
+      return {
+        success: true,
+        paymentUrl: response.data.url,
+        billId: response.data.id,
+        amount: response.data.amount,
+        currency: 'MYR'
+      };
+    } catch (error) {
+      throw new Error(`Billplz payment creation failed: ${error.response?.data?.error?.message || error.message}`);
+    }
+  }
+
+  async handleCallback(callbackData) {
+    try {
+      // Billplz callback'de bill data'sı gelir
+      const billId = callbackData.id;
+      const paid = callbackData.paid;
+      const amount = callbackData.amount;
+
+      if (paid) {
+        return {
+          success: true,
+          transactionId: billId,
+          amount: amount / 100, // cents to MYR
+          currency: 'MYR',
+          status: 'completed',
+          rawData: callbackData
+        };
+      } else {
+        return {
+          success: false,
+          status: 'failed',
+          rawData: callbackData
+        };
+      }
+    } catch (error) {
+      throw new Error(`Billplz callback handling failed: ${error.message}`);
+    }
+  }
+}
+
+module.exports = Billplz;

package/lib/nowpayments.js

@@ -306,6 +306,56 @@ class NOWPaymentsService {
       return null;
     }
   }
+
+  /**
+   * Webhook callback'ini işler
+   * 
+   * @param {Object} callbackData - Webhook verisi
+   * @returns {Promise<Object>} İşlem sonucu
+   */
+  async handleCallback(callbackData) {
+    try {
+      // IPN doğrulama (isteğe bağlı, ama güvenlik için iyi)
+      if (this.ipnSecret && callbackData.ipn_type === 'payment') {
+        // HMAC doğrulama yapılabilir, ama basit tutalım
+      }
+
+      const paymentStatus = callbackData.payment_status;
+      const paymentId = callbackData.payment_id;
+      const amount = callbackData.pay_amount;
+      const currency = callbackData.pay_currency;
+      const orderId = callbackData.order_id;
+
+      if (paymentStatus === 'finished' || paymentStatus === 'confirmed') {
+        return {
+          success: true,
+          transactionId: paymentId,
+          amount: parseFloat(amount),
+          currency: currency,
+          status: 'completed',
+          orderId: orderId,
+          rawData: callbackData
+        };
+      } else if (paymentStatus === 'failed' || paymentStatus === 'expired') {
+        return {
+          success: false,
+          status: 'failed',
+          transactionId: paymentId,
+          rawData: callbackData
+        };
+      } else {
+        // pending, waiting, refunding, refunded
+        return {
+          success: false,
+          status: 'pending',
+          transactionId: paymentId,
+          rawData: callbackData
+        };
+      }
+    } catch (error) {
+      throw new Error(`NOWPayments callback handling failed: ${error.message}`);
+    }
+  }
 }
 
 module.exports = NOWPaymentsService;

package/lib/payop.js

@@ -251,6 +251,95 @@ class Payop {
   async getPayoutStatus(payoutId) {
     return this.makeRequest(`/payouts/${payoutId}`, null, 'GET');
   }
+
+  /**
+   * Create a payment (checkout)
+   * @param {Object} paymentData - Payment data
+   * @returns {Promise<Object>} - Payment result
+   */
+  async createPayment(paymentData) {
+    try {
+      // First create invoice
+      const invoiceData = {
+        order: paymentData.orderId || this.generateUniqueId(),
+        amount: paymentData.amount,
+        currency: paymentData.currency || 'USD',
+        description: paymentData.description || 'Payment',
+        customer: {
+          email: paymentData.email,
+          name: paymentData.name
+        },
+        resultUrl: paymentData.callback_link,
+        failPath: paymentData.fail_link
+      };
+
+      const invoice = await this.createInvoice(invoiceData);
+
+      // Then create checkout
+      const checkoutData = {
+        invoiceIdentifier: invoice.data.identifier,
+        customer: invoiceData.customer,
+        checkStatusUrl: paymentData.callback_link,
+        paymentMethod: paymentData.paymentMethod || 935 // default
+      };
+
+      const response = await axios.post(`${this.baseUrl}/checkout/create`, checkoutData, {
+        headers: {
+          'Content-Type': 'application/json',
+          'Authorization': `Bearer ${this.config.jwtToken}` // Assume JWT token is provided
+        }
+      });
+
+      return {
+        success: true,
+        paymentUrl: response.data.url || `https://payop.com/checkout/${response.data.txid}`,
+        transactionId: response.data.txid,
+        amount: paymentData.amount,
+        currency: paymentData.currency
+      };
+    } catch (error) {
+      throw new Error(`PayOp payment creation failed: ${error.response?.data?.message || error.message}`);
+    }
+  }
+
+  /**
+   * Handle callback from PayOp
+   * @param {Object} callbackData - Callback data
+   * @returns {Promise<Object>} - Callback result
+   */
+  async handleCallback(callbackData) {
+    try {
+      // IPN data structure from docs
+      const transactionState = callbackData.transaction?.state;
+      const invoiceStatus = callbackData.invoice?.status;
+      const transactionId = callbackData.transaction?.id;
+
+      if (transactionState === 2 || invoiceStatus === 1) { // accepted/success
+        return {
+          success: true,
+          transactionId: transactionId,
+          status: 'completed',
+          rawData: callbackData
+        };
+      } else if (transactionState === 3 || transactionState === 5 || invoiceStatus === 0) { // failed
+        return {
+          success: false,
+          status: 'failed',
+          transactionId: transactionId,
+          rawData: callbackData
+        };
+      } else {
+        return {
+          success: false,
+          status: 'pending',
+          transactionId: transactionId,
+          rawData: callbackData
+        };
+      }
+    } catch (error) {
+      throw new Error(`PayOp callback handling failed: ${error.message}`);
+    }
+  }
 }
 
 module.exports = Payop;

package/lib/paypal.js

@@ -537,6 +537,60 @@ class PayPal {
       throw new Error(`Checkout rendering error: ${error.message}`);
     }
   }
+
+  /**
+   * Create payment (wrapper for processPayment)
+   * @param {Object} paymentData - Payment data
+   * @returns {Promise<Object>} - Payment result
+   */
+  async createPayment(paymentData) {
+    try {
+      // For PayPal, we can use processPayment or create a payment link
+      // Since Braintree is used, we'll simulate a payment creation
+      const clientToken = await this.generateClientToken();
+      
+      return {
+        success: true,
+        paymentUrl: `https://www.paypal.com/checkout?token=${clientToken}`, // Simplified
+        transactionId: paymentData.orderId,
+        amount: paymentData.amount,
+        currency: paymentData.currency || 'USD',
+        clientToken: clientToken
+      };
+    } catch (error) {
+      throw new Error(`PayPal payment creation failed: ${error.message}`);
+    }
+  }
+
+  /**
+   * Handle callback/webhook
+   * @param {Object} callbackData - Webhook data
+   * @returns {Promise<Object>} - Callback result
+   */
+  async handleCallback(callbackData) {
+    try {
+      // Use existing handleWebhook method
+      const result = await this.handleWebhook('', callbackData);
+      
+      if (result && result.success) {
+        return {
+          success: true,
+          transactionId: result.transactionId,
+          status: 'completed',
+          amount: result.amount,
+          rawData: callbackData
+        };
+      } else {
+        return {
+          success: false,
+          status: 'failed',
+          rawData: callbackData
+        };
+      }
+    } catch (error) {
+      throw new Error(`PayPal callback handling failed: ${error.message}`);
+    }
+  }
 }
 
 module.exports = PayPal;

package/lib/primepayments.js

@@ -251,6 +251,88 @@ class PrimePayments {
     
     return false;
   }
+
+  /**
+   * Create payment (wrapper for initPayment)
+   * @param {Object} paymentData - Payment data
+   * @returns {Promise<Object>} - Payment result
+   */
+  async createPayment(paymentData) {
+    try {
+      const result = await this.initPayment({
+        amount: paymentData.amount,
+        currency: paymentData.currency || 'USD',
+        description: paymentData.description || 'Payment',
+        order_id: paymentData.orderId,
+        success_url: paymentData.callback_link,
+        fail_url: paymentData.fail_link
+      });
+
+      if (result.result === 'ok') {
+        return {
+          success: true,
+          paymentUrl: result.payment_url,
+          transactionId: result.order_id,
+          amount: paymentData.amount,
+          currency: paymentData.currency
+        };
+      } else {
+        throw new Error(result.message || 'Payment creation failed');
+      }
+    } catch (error) {
+      throw new Error(`PrimePayments payment creation failed: ${error.message}`);
+    }
+  }
+
+  /**
+   * Handle callback/notification
+   * @param {Object} callbackData - Callback data
+   * @returns {Promise<Object>} - Callback result
+   */
+  async handleCallback(callbackData) {
+    try {
+      // Verify notification with secret word 2
+      const isValid = this.verifyNotification(callbackData);
+      
+      if (!isValid) {
+        return {
+          success: false,
+          status: 'invalid',
+          rawData: callbackData
+        };
+      }
+
+      const orderStatus = callbackData.status;
+      const orderId = callbackData.order_id;
+
+      if (orderStatus === 'success') {
+        return {
+          success: true,
+          transactionId: orderId,
+          status: 'completed',
+          amount: parseFloat(callbackData.amount),
+          currency: callbackData.currency,
+          rawData: callbackData
+        };
+      } else if (orderStatus === 'fail') {
+        return {
+          success: false,
+          status: 'failed',
+          transactionId: orderId,
+          rawData: callbackData
+        };
+      } else {
+        return {
+          success: false,
+          status: 'pending',
+          transactionId: orderId,
+          rawData: callbackData
+        };
+      }
+    } catch (error) {
+      throw new Error(`PrimePayments callback handling failed: ${error.message}`);
+    }
+  }
 }
 
 module.exports = PrimePayments;

package/lib/shopier_card.js

@@ -0,0 +1,188 @@
+const crypto = require('crypto');
+
+class Shopier {
+  /**
+   * @param {Object} config
+   * @param {string} config.apiKey - Shopier API Key
+   * @param {string} config.apiSecret - Shopier API Secret
+   */
+  constructor(config) {
+    this.config = config || {};
+    const requiredFields = ['apiKey', 'apiSecret', 'website'];
+    
+    for (let field of requiredFields) {
+      if (!config[field]) throw new Error(`Shopier: Missing required config field: ${field}`);
+    }
+
+    this.apiKey = config.apiKey;
+    this.websiteIndex = Number(config.website);
+    this.apiSecret = config.apiSecret;
+    this.paymentUrl = 'https://www.shopier.com/ShowProduct/api_pay4.php';
+    this.moduleVersion = '1.0.4';
+  }
+
+  /**
+   * Ödeme Formunu Oluşturur
+   * @param {Object} paymentDetails
+   * @param {number} paymentDetails.amount - Ödenecek tutar (Örn: 15.50)
+   * @param {string} paymentDetails.currency - Para birimi (TRY, USD, EUR) varsayılan: TRY
+   * @param {string} paymentDetails.orderId - Sipariş numarası (Benzersiz olmalı)
+   * @param {Object} paymentDetails.buyer - Alıcı bilgileri { first_name, last_name, email, phone, id_nr }
+   * @param {Object} paymentDetails.billingAddress - Fatura adresi { address, city, country, postcode }
+   * @param {Object} paymentDetails.shippingAddress - Teslimat adresi { address, city, country, postcode }
+   */
+  createPayment(paymentDetails) {
+    try {
+      // 1. Temel Doğrulamalar
+      if (!paymentDetails.amount) throw new Error('Shopier: Amount is required');
+      if (!paymentDetails.buyer) throw new Error('Shopier: Buyer information is required');
+      if (!paymentDetails.billingAddress) throw new Error('Shopier: Billing address is required');
+      if (!paymentDetails.shippingAddress) throw new Error('Shopier: Shipping address is required');
+
+      const currency = paymentDetails.currency || 'TRY';
+      const currentLang = 0; // 0: TR, 1: EN (Otomatik TR ayarlandı, isteğe göre parametreye bağlanabilir)
+      const randomNr = Math.floor(Math.random() * (999999 - 100000 + 1)) + 100000;
+      
+      // Sipariş ID yoksa rastgele oluştur
+      const platformOrderId = paymentDetails.orderId || `Ord-${randomNr}`;
+
+      // 2. Shopier İçin Argümanları Hazırla
+      const args = {
+        API_key: this.apiKey,
+        website_index: this.websiteIndex || 0,
+        platform_order_id: platformOrderId,
+        product_name: paymentDetails.product_name || 'Balance Payment',
+        product_type: 0, // 0: Reel nesne, 1: Sanal
+        buyer_name: paymentDetails.buyer.first_name,
+        buyer_surname: paymentDetails.buyer.last_name,
+        buyer_email: paymentDetails.buyer.email,
+        buyer_account_age: 0,
+        buyer_id_nr: paymentDetails.buyer.id_nr || '0', // Opsiyonel ID
+        buyer_phone: paymentDetails.buyer.phone,
+        
+        // Fatura
+        billing_address: paymentDetails.billingAddress.address,
+        billing_city: paymentDetails.billingAddress.city,
+        billing_country: paymentDetails.billingAddress.country,
+        billing_postcode: paymentDetails.billingAddress.postcode,
+        
+        // Teslimat
+        shipping_address: paymentDetails.shippingAddress.address,
+        shipping_city: paymentDetails.shippingAddress.city,
+        shipping_country: paymentDetails.shippingAddress.country,
+        shipping_postcode: paymentDetails.shippingAddress.postcode,
+        
+        total_order_value: paymentDetails.amount,
+        currency: this._mapCurrency(currency),
+        platform: 0,
+        is_in_frame: 0,
+        current_language: currentLang,
+        modul_version: this.moduleVersion,
+        random_nr: randomNr
+      };
+
+      // 3. Eksik Alan Kontrolü
+      Object.keys(args).forEach(key => {
+        if (args[key] === undefined || args[key] === null) {
+           // Opsiyonel alanlar için esneklik sağlanabilir ama kritik alanlar için hata fırlatıyoruz
+           // throw new Error(`Shopier: Parameter ${key} is missing`);
+        }
+      });
+
+      // 4. İmza Oluşturma (Native Crypto)
+      const dataToSign = args.random_nr + args.platform_order_id + args.total_order_value + args.currency;
+      const signature = crypto.createHmac('sha256', this.apiSecret)
+                              .update(dataToSign)
+                              .digest('base64');
+
+      args.signature = signature;
+
+      // 5. HTML Formunu Oluştur
+      const formHtml = this._generateHtml(args);
+
+      return {
+        status: 'success',
+        data: {
+          orderId: platformOrderId,
+          amount: paymentDetails.amount,
+          html: formHtml // Frontend'de bu HTML'i ekrana basıp formu submit edeceksin
+        }
+      };
+
+    } catch (error) {
+       throw new Error(`Error in Shopier payment creation: ${error.message}`);
+    }
+  }
+
+  /**
+   * Callback (Geri Dönüş) İşleme
+   * @param {Object} body - POST request body
+   */
+  handleCallback(body) {
+    try {
+      const data = body.random_nr + body.platform_order_id;
+      // Gelen imza base64, bunu normal stringe çevirip karşılaştırmalıyız ya da direkt ürettiğimizi karşılaştırmalıyız.
+      // Shopier dökümantasyonuna göre: HmacSHA256(random_nr + platform_order_id, secret) == signature (base64)
+      
+      const expectedSignature = crypto.createHmac('sha256', this.apiSecret)
+                                      .update(data)
+                                      .digest('base64');
+
+      if (body.signature === expectedSignature) {
+        if (body.status === 'success') {
+          return {
+            success: true,
+            order_id: body.platform_order_id,
+            payment_id: body.payment_id,
+            installment: body.installment,
+            random_nr: body.random_nr
+          };
+        } else {
+          return { success: false, message: "Shopier: Payment status is not success." };
+        }
+      } else {
+        throw new Error('Shopier: Signature mismatch. Invalid callback.');
+      }
+    } catch (error) {
+      throw new Error(`Error in Shopier callback handling: ${error.message}`);
+    }
+  }
+
+  // --- Private Helpers ---
+
+  _generateHtml(args) {
+    let inputs = '';
+    Object.keys(args).forEach(key => {
+      inputs += `<input type="hidden" name="${key}" value="${args[key]}">`;
+    });
+
+    return `<!doctype html>
+    <html lang="tr">
+    <head>
+    <meta charset="UTF-8">
+    <meta name="viewport" content="width=device-width, user-scalable=no, initial-scale=1.0, maximum-scale=1.0, minimum-scale=1.0">
+    <title>Ödeme Yapılıyor...</title>
+    </head>
+    <body>
+      <form id="shopier_payment_form" method="post" action="${this.paymentUrl}">
+        ${inputs}
+      </form>
+      <script type="text/javascript">
+        document.getElementById("shopier_payment_form").submit();
+      </script>
+    </body>
+    </html>`;
+  }
+
+  _mapCurrency(currency) {
+    switch(currency) {
+      case 'TL':
+      case 'TRY': return 0;
+      case 'USD': return 1;
+      case 'EUR': return 2;
+      default: return 0;
+    }
+  }
+}
+
+module.exports = Shopier;

package/lib/yallapay.js

@@ -274,6 +274,46 @@ class YallaPayService {
       return null;
     }
   }
+
+  /**
+   * Handle callback/notification
+   * @param {Object} callbackData - Callback data
+   * @returns {Promise<Object>} - Callback result
+   */
+  async handleCallback(callbackData) {
+    try {
+      // Use existing handleWebhook method for consistency
+      const result = await this.handleWebhook(callbackData);
+      
+      // Map to standard format
+      if (result.status === 'success') {
+        return {
+          success: true,
+          transactionId: result.merchant_oid,
+          status: 'completed',
+          amount: parseFloat(result.amount),
+          currency: result.currency,
+          rawData: callbackData
+        };
+      } else if (result.status === 'failed') {
+        return {
+          success: false,
+          status: 'failed',
+          transactionId: result.merchant_oid,
+          rawData: callbackData
+        };
+      } else {
+        return {
+          success: false,
+          status: 'pending',
+          transactionId: result.merchant_oid,
+          rawData: callbackData
+        };
+      }
+    } catch (error) {
+      throw new Error(`YallaPay callback handling failed: ${error.message}`);
+    }
+  }
 }
 
 module.exports = YallaPayService;

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "quickpos",
-  "version": "1.0.912",
+  "version": "1.0.913",
   "main": "app.js",
   "scripts": {
     "test": "node test.js"

package/reported.md

@@ -0,0 +1,347 @@
+## 2Checkout Hataları
+
+- **Eski API Kullanımı**: Kod, 2Checkout'un eski API endpoint'lerini ve yöntemlerini kullanıyor. 2Checkout artık Verifone altında ve yeni REST API, JSON-RPC veya SOAP API'lerini kullanmalı.
+- **Hash Algoritması**: IPN callback doğrulama için MD5 kullanıyor, ancak dokümantasyon MD5'nin 15 Ağustos 2024'te durdurulduğunu belirtiyor ve SHA2/SHA3'e geçiş öneriyor.
+- **Signature Hesaplama**: Buy link signature için sha256 kullanılıyor, bu doğru olabilir ama genel entegrasyon güncellenmeli.
+- **Dokümantasyon Uyumsuzluğu**: Yeni Verifone dokümantasyonuna göre entegrasyon yeniden yazılmalı.
+
+[x] 2Checkout (sorun var, güncelleme gerekli)
+
+## Amazon Pay Hataları
+
+- **Yanlış Signature Algoritması**: Kod HMAC SHA256 kullanıyor, ancak Amazon Pay API v2 RSA PSS (RSASSA-PSS) signature gerektirir. Private key ile RSA signature yapılmalı.
+- **Authorization Header**: Header `AMZN-PAY-RSASSA-PSS` diyor ama HMAC ile signature yapıyor, bu uyumsuz.
+- **API Yapısı**: Genel olarak Amazon Pay API dokümantasyonuna uymuyor, canonical request ve proper headers eksik.
+
+[x] Amazon Pay (sorun var, yeniden yazılmalı)
+
+## AnyPay Hataları
+
+- **Callback Güvenliği Eksik**: handleCallback metodunda notification validation (signature ve IP kontrolü) comment edilmiş. Dokümantasyona göre SHA256 signature ve IP whitelist kontrolü gerekli.
+- **Güvenlik Açığı**: Callback verisi doğrulanmadan işleniyor, bu saldırılara açık bırakır.
+
+[x] AnyPay (sorun var, güvenlik eklenmeli)
+
+## Billplz Hataları
+
+- **Callback Güvenliği Eksik**: handleCallback metodunda sadece `paid` kontrolü var, ancak Billplz API dokümantasyonuna göre X Signature Callback Url ile signature validation gerekli. Callback verisi HMAC_SHA256 ile doğrulanmalı, aksi takdirde saldırılara açık.
+- **Güvenlik Açığı**: Callback verisi doğrulanmadan işleniyor, bu spoofing saldırılarına neden olabilir.
+
+[x] Billplz (sorun var, signature validation eklenmeli)
+
+## BitPay Hataları
+
+- **Extended Notifications Eksik**: Invoice oluştururken `"extendedNotifications": true` parametresi eklenmemiş. Dokümantasyona göre extended format öneriliyor ve daha fazla status notification sağlar.
+- **Callback Güvenliği**: BitPay IPN'lerinde signature validation yok, ancak dokümantasyona göre HTTPS kullanılmalı ve IPN verisi invoice API ile doğrulanmalı. Kodda invoice kontrolü var, bu iyi, ama extended notifications eksik.
+
+[x] BitPay (sorun var, extended notifications eklenmeli)
+
+[x] BufPay
+
+## Cardcom Hataları
+
+- **Callback Güvenliği Eksik**: handleCallback metodunda verifyCallback çağırılıyor, ancak verifyCallback sadece OperationResponse === '0' kontrolü yapıyor. Cardcom API dokümantasyonuna göre callback'lar signature ile doğrulanmalı, ancak kodda signature validation yok.
+- **Güvenlik Açığı**: Callback verisi doğrulanmadan işleniyor, bu spoofing saldırılarına açık bırakır.
+
+[x] Cardcom (sorun var, signature validation eklenmeli)
+
+[x] Cashfree
+
+## Checkout Hataları
+
+- **Webhook Signature Validation Eksik**: verifyWebhook metodunda sadece basit kontrol var, gerçek signature validation yok. Checkout.com dokümantasyonuna göre webhook'lar HMAC SHA256 ile signature doğrulanmalı.
+- **Güvenlik Açığı**: Webhook verisi doğrulanmadan işleniyor, comment'te "simplified version" diyor ama production'da gerekli.
+
+[x] Checkout (sorun var, signature validation uygulanmalı)
+
+## CoinGate Hataları
+
+- **Callback Güvenliği Eksik**: handleCallback metodunda order API ile kontrol ediliyor, ancak callback signature validation yok. CoinGate dokümantasyonuna göre callback'lar HMAC SHA256 ile doğrulanmalı.
+- **Güvenlik Açığı**: Callback verisi doğrulanmadan işleniyor, spoofing saldırılarına açık.
+
+[x] CoinGate (sorun var, signature validation eklenmeli)
+
+[x] CoinPayments
+
+[x] Cryptomus
+
+[x] Doku
+
+[x] ePay
+
+[x] Epoint
+
+## EsnekPOS Hataları
+
+- **Callback Güvenliği Eksik**: handleCallback metodunda sadece STATUS kontrolü var, signature validation yok. Esnekpos dokümantasyonuna göre callback'lar doğrulanmalı, ancak kodda eksik.
+- **Güvenlik Açığı**: Callback verisi doğrulanmadan işleniyor, spoofing saldırılarına açık.
+
+[x] EsnekPOS (sorun var, signature validation eklenmeli)
+
+## FedaPay Hataları
+
+- **Callback Güvenliği Eksik**: handleCallback metodunda signature validation yok, sadece transaction retrieve ediliyor. verifySignature metod var ama kullanılmıyor. FedaPay dokümantasyonuna göre webhook'lar doğrulanmalı.
+- **Güvenlik Açığı**: Callback verisi doğrulanmadan işleniyor.
+
+[x] FedaPay (sorun var, signature validation uygulanmalı)
+
+[x] FreeKassa
+
+[x] Heleket
+
+## Iyzico Hataları
+
+- **Callback Güvenliği Eksik**: handleCallback metodunda checkout form retrieve ediliyor, ancak Iyzipay kütüphanesinin samples'ında görüldüğü gibi callback signature validation gerekli. HMAC SHA256 ile signature doğrulanmalı.
+- **Güvenlik Açığı**: Callback verisi doğrulanmadan işleniyor, Iyzipay dokümantasyonuna göre signature kontrolü zorunlu.
+
+[x] Iyzico (sorun var, signature validation eklenmeli)
+
+## Instamojo Hataları
+
+- **Callback Güvenliği Eksik**: handleCallback metodunda webhook verilerinin signature validation yok. Instamojo dokümantasyonuna göre webhook'lar "mac" (Message Authentication Code) parametresi ile doğrulanmalı, ancak kodda eksik.
+- **Güvenlik Açığı**: Callback verisi doğrulanmadan işleniyor, spoofing saldırılarına açık.
+
+[x] Instamojo (sorun var, signature validation eklenmeli)
+
+[x] Konnect
+
+[x] Midtrans
+
+## Noonpayments Hataları
+
+- **Callback Güvenliği Eksik**: handleCallback metodunda webhook signature validation yok. Noonpayments dokümantasyonuna göre callback'lar HMAC SHA512 ile signature doğrulanmalı, ancak kodda eksik.
+- **Güvenlik Açığı**: Callback verisi doğrulanmadan işleniyor, spoofing saldırılarına açık.
+
+[x] Noonpayments (sorun var, signature validation eklenmeli)
+
+[x] NOWPayments
+
+## Omise Hataları
+
+- **Callback Güvenliği Eksik**: handleCallback metodunda webhook signature validation yok. Omise dokümantasyonuna göre callback'lar doğrulanmalı, ancak kodda eksik.
+- **Güvenlik Açığı**: Callback verisi doğrulanmadan işleniyor, spoofing saldırılarına açık.
+
+[x] Omise (sorun var, signature validation eklenmeli)
+
+[x] PayPal
+
+[x] Razorpay
+
+## Xendit Hataları
+
+- **Callback Güvenliği Eksik**: handleCallback metodunda sadece webhook token kontrolü var, gerçek signature validation yok. Xendit dokümantasyonuna göre callback'lar doğrulanmalı.
+- **Güvenlik Açığı**: Callback verisi doğrulanmadan işleniyor, spoofing saldırılarına açık.
+
+[x] Xendit (sorun var, signature validation eklenmeli)
+
+[x] Paytm
+
+## Yookassa Hataları
+
+- **Callback Güvenliği Eksik**: handleCallback metodunda webhook signature validation yok. Yookassa dokümantasyonuna göre callback'lar doğrulanmalı, ancak kodda eksik.
+- **Güvenlik Açığı**: Callback verisi doğrulanmadan işleniyor, spoofing saldırılarına açık.
+
+[x] Yookassa (sorun var, signature validation eklenmeli)
+
+[x] Coinbase
+
+[x] PayUIndia
+
+[x] PayULatam
+[x] PayULatam
+
+[x] PayTR
+
+[x] PerfectMoney
+
+## Paddle Hataları
+
+- **Webhook Signature Validation Eksik**: verifyWebhook metodunda sadece `return true;` placeholder var, gerçek signature validation yok. Paddle dokümantasyonuna göre webhook'lar HMAC SHA256 ile signature doğrulanmalı. Paddle-Signature header'dan ts ve h1 çıkarılıp, ts + ":" + raw body ile HMAC SHA256 hash hesaplanmalı ve h1 ile karşılaştırılmalı.
+- **Güvenlik Açığı**: Callback verisi doğrulanmadan işleniyor, spoofing saldırılarına açık.
+
+[x] Paddle (sorun var, signature validation uygulanmalı)
+
+## Papara Hataları
+
+- **Callback Güvenliği Eksik**: verifyPaymentCallback metodunda sadece status kontrolü ve merchantSecretKey karşılaştırması var, gerçek signature validation yok. Papara API dokümantasyonuna göre webhook callback'lar doğrulanmalı, ancak kodda eksik.
+- **Güvenlik Açığı**: Callback verisi doğrulanmadan işleniyor, spoofing saldırılarına açık.
+
+[x] Papara (sorun var, signature validation eklenmeli)
+
+## Payoneer Hataları
+
+- **Callback Güvenliği Eksik**: handleCallback metodunda webhook signature validation yok. Payoneer API dokümantasyonuna göre callback'lar doğrulanmalı, ancak kodda eksik.
+- **Güvenlik Açığı**: Callback verisi doğrulanmadan işleniyor, spoofing saldırılarına açık.
+
+[x] Payoneer (sorun var, signature validation eklenmeli)
+
+## Payop Hataları
+
+- **Callback Güvenliği Eksik**: handleCallback metodunda verifyNotification çağrılmıyor. verifyNotification metodu signature validation yapıyor ama kullanılmıyor. Payop dokümantasyonuna göre IPN'ler doğrulanmalı, ancak kodda eksik.
+- **Güvenlik Açığı**: Callback verisi doğrulanmadan işleniyor, spoofing saldırılarına açık.
+
+[x] Payop (sorun var, signature validation uygulanmalı)
+
+[x] Payriff
+
+## Paysend Hataları
+
+- **Callback Güvenliği Eksik**: verifyCallback metodunda sadece status kontrolü var, gerçek signature validation yok. Paysend API dokümantasyonuna göre webhook callback'lar doğrulanmalı, ancak kodda eksik.
+- **Güvenlik Açığı**: Callback verisi doğrulanmadan işleniyor, spoofing saldırılarına açık.
+
+[x] Paysend (sorun var, signature validation eklenmeli)
+
+[x] Payspace
+
+## Payssion Hataları
+
+- **Yanlış Signature Algoritması**: generateSignature metodunda MD5 kullanılıyor, ancak Payssion dokümantasyonuna göre webhook signature validation HMAC SHA256 ile yapılmalı. Payssion-Signature header'dan signature alınmalı ve payload ile HMAC SHA256 hesaplanmalı.
+- **Güvenlik Açığı**: Yanlış signature algoritması kullanılması nedeniyle callback verisi doğru doğrulanamıyor, spoofing saldırılarına açık.
+
+[x] Payssion (sorun var, signature algoritması düzeltilmeli)
+
+## Paytabs Hataları
+
+- **Callback Güvenliği Eksik**: handleCallback metodunda verifyPayment çağırılıyor ama bu sadece API sorgusu yapıyor, gerçek signature validation yok. Paytabs API dokümantasyonuna göre webhook callback'lar doğrulanmalı, ancak kodda eksik.
+- **Güvenlik Açığı**: Callback verisi doğrulanmadan işleniyor, spoofing saldırılarına açık.
+
+[x] Paytabs (sorun var, signature validation eklenmeli)
+
+[x] Paytm
+
+## Paycom Hataları
+
+- **Callback Güvenliği Eksik**: handleCallback metodunda verifyCallback çağrılmıyor. verifyCallback metodu X-Auth header kontrolü yapıyor ama dokümantasyona göre Authorization: Basic auth gerekli. Kodda authentication yapılmadan callback işleniyor.
+- **Güvenlik Açığı**: Callback verisi doğrulanmadan işleniyor, spoofing saldırılarına açık.
+
+[x] Paycom (sorun var, authentication uygulanmalı)
+
+[x] Paydisini
+
+[x] Payeer
+
+[x] Payid19
+
+## Paykun Hataları
+
+- **Callback Güvenliği Eksik**: handleCallback metodunda signature validation yok. Paykun dokümantasyonuna göre callback'lar SHA512 HMAC ile signature doğrulanmalı, ancak kodda eksik.
+- **Güvenlik Açığı**: Callback verisi doğrulanmadan işleniyor, spoofing saldırılarına açık.
+
+[x] Paykun (sorun var, signature validation eklenmeli)
+
+## Paymaya Hataları
+
+- **Callback Güvenliği Eksik**: handleCallback metodunda verifyWebhookSignature çağrılmıyor. verifyWebhookSignature metodu signature validation yapıyor ama kullanılmıyor. Maya Checkout dokümantasyonuna göre webhook'lar doğrulanmalı.
+- **Güvenlik Açığı**: Callback verisi doğrulanmadan işleniyor, spoofing saldırılarına açık.
+
+[x] Paymaya (sorun var, signature validation uygulanmalı)
+
+## Payme Hataları
+
+- **Callback Güvenliği Eksik**: handleCallback metodunda signature validation yok. Kodda comment edilmiş "İleri düzey implementasyon: Signature doğrulaması" ama uygulanmamış. Payme dokümantasyonuna göre callback'lar doğrulanmalı.
+- **Güvenlik Açığı**: Callback verisi doğrulanmadan işleniyor, spoofing saldırılarına açık.
+
+[x] Payme (sorun var, signature validation eklenmeli)
+
+[x] Paymentwall
+
+[x] Paynet
+
+[x] Paynettr
+
+[x] Phonepe
+
+## Picpay Hataları
+
+- **Callback Güvenliği Eksik**: handleCallback metodunda signature validation yok. Sadece referenceId ile API'ye sorgu yapıyor, ancak Picpay webhook dokümantasyonuna göre callback verisi HMAC SHA256 signature ile doğrulanmalı.
+- **Güvenlik Açığı**: Callback verisi doğrulanmadan işleniyor, bu spoofing saldırılarına açık bırakır. API çağrısı ile doğrulama yetersiz, çünkü callback verisi değiştirilebilir.
+
+[x] Picpay (sorun var, signature validation eklenmeli)
+
+## Plisio Hataları
+
+- **Callback Güvenliği Eksik**: handleCallback metodunda verifyCallback çağırılıyor ve generateVerifyHash ile doğrulama yapılıyor, ancak implementasyon yanlış. Dokümantasyona göre HMAC SHA1 kullanılmalı, ancak kodda sadece SHA1 hash kullanılıyor (HMAC değil).
+- **Yanlış Hash Algoritması**: generateVerifyHash fonksiyonunda crypto.createHash('sha1') kullanılıyor, ancak dokümantasyona göre crypto.createHmac('sha1', secretKey) kullanılmalı.
+- **Yanlış Veri Sıralaması**: Kodda Object.keys().sort() sonra join('|') kullanılıyor, ancak dokümantasyona göre serialize() veya JSON.stringify() kullanılmalı.
+- **Güvenlik Açığı**: Yanlış signature doğrulama nedeniyle callback verisi spoofing saldırılarına açık bırakır.
+
+[x] Plisio (sorun var, signature validation düzeltilmeli)
+
+## Portwallet Hataları
+
+- **Callback Güvenliği Koşullu**: handleCallback metodunda verifyCallback çağırılıyor ancak sadece secretKey varsa. Eğer secretKey verilmezse callback doğrulanmadan işleniyor.
+- **Güvenlik Açığı**: secretKey optional olduğu için, yanlış yapılandırma durumunda callback verisi spoofing saldırılarına açık bırakır.
+- **Dokümantasyon Eksik**: Portwallet dokümantasyonuna erişilemedi, ancak genel payment gateway standartlarına göre callback signature validation zorunlu olmalı.
+
+[x] Portwallet (sorun var, secretKey kontrolü düzeltilmeli)
+
+## Primepayments Hataları
+
+- **Callback Güvenliği Eksik**: handleCallback metodunda verifyNotification çağırılıyor ancak bu fonksiyon tanımlanmamış. Kod çalışmayacak.
+- **Güvenlik Açığı**: verifyNotification fonksiyonu eksik olduğu için callback doğrulanmadan işleniyor, bu spoofing saldırılarına açık bırakır.
+- **Eksik Implementasyon**: Primepayments API dokümantasyonuna göre secret word 2 ile MD5 signature validation gerekli, ancak kodda eksik.
+
+[x] Primepayments (sorun var, verifyNotification fonksiyonu eklenmeli)
+
+[x] Razorpay
+
+[x] Senangpay
+
+[x] Shopier
+
+## Shurjopay Hataları
+
+- **Callback Güvenliği Eksik**: handleCallback metodunda signature validation yok. Sadece orderId ile API'ye sorgu yapıyor, ancak Shurjopay webhook dokümantasyonuna göre callback verisi HMAC SHA256 signature ile doğrulanmalı.
+- **Güvenlik Açığı**: Callback verisi doğrulanmadan işleniyor, bu spoofing saldırılarına açık bırakır. API çağrısı ile doğrulama yetersiz, çünkü callback verisi değiştirilebilir.
+
+[x] Shurjopay (sorun var, signature validation eklenmeli)
+
+## Toyyibpay Hataları
+
+- **Callback Güvenliği Eksik**: verifyCallback metodunda sadece status_id kontrolü var, hash verification yok. Toyyibpay API dokümantasyonuna göre callback verisi hash ile doğrulanmalı.
+- **Güvenlik Açığı**: Callback verisi doğrulanmadan işleniyor, bu spoofing saldırılarına açık bırakır.
+
+[x] Toyyibpay (sorun var, hash validation eklenmeli)
+
+[x] Tripay
+
+[x] Unitpay
+
+[x] Urway
+
+[x] Volet
+
+## Xendit Hataları
+
+- **Callback Güvenliği Eksik**: handleCallback metodunda sadece webhook token kontrolü var, signature validation yok. Xendit webhook dokümantasyonuna göre callback verisi HMAC SHA256 signature ile doğrulanmalı.
+- **Güvenlik Açığı**: Callback verisi doğrulanmadan işleniyor, bu spoofing saldırılarına açık bırakır.
+
+[x] Xendit (sorun var, signature validation eklenmeli)
+
+## Yallapay Hataları
+
+- **Callback Güvenliği Eksik**: handleWebhook metodunda sadece webhook secret kontrolü var, signature validation yok. Yallapay webhook dokümantasyonuna göre callback verisi hash ile doğrulanmalı.
+- **Güvenlik Açığı**: Callback verisi doğrulanmadan işleniyor, bu spoofing saldırılarına açık bırakır.
+
+[x] Yallapay (sorun var, signature validation eklenmeli)
+
+## Yookassa Hataları
+
+- **Callback Güvenliği Eksik**: handleCallback metodunda signature validation yok. Sadece payment.id ile API'ye sorgu yapıyor, ancak Yookassa webhook dokümantasyonuna göre callback verisi HMAC SHA256 signature ile doğrulanmalı.
+- **Güvenlik Açığı**: Callback verisi doğrulanmadan işleniyor, bu spoofing saldırılarına açık bırakır. API çağrısı ile doğrulama yetersiz.
+
+[x] Yookassa (sorun var, signature validation eklenmeli)
+
+## Youcanpay Hataları
+
+- **Callback Güvenliği Eksik**: handleCallback metodunda signature validation yok. Sadece transactionId ile API'ye sorgu yapıyor, ancak Youcanpay webhook dokümantasyonuna göre callback verisi signature ile doğrulanmalı.
+- **Güvenlik Açığı**: Callback verisi doğrulanmadan işleniyor, bu spoofing saldırılarına açık bırakır. API çağrısı ile doğrulama yetersiz.
+
+[x] Youcanpay (sorun var, signature validation eklenmeli)
+
+## Zarinpal Hataları
+
+- **Callback Güvenliği Eksik**: handleCallback metodunda sadece Status kontrolü var, signature validation yok. Zarinpal webhook dokümantasyonuna göre callback verisi doğrulanmalı.
+- **Güvenlik Açığı**: Callback verisi doğrulanmadan işleniyor, bu spoofing saldırılarına açık bırakır.
+
+[x] Zarinpal (sorun var, signature validation eklenmeli)