Tecnicamente acho que isso nem poderia ser considerado um bug. É apenas um projeto ruim com erros conceituais.<div><br></div><div>Esse problema existe desde o início dos tempos. Há pelo menos 4 anos enviei um e-mail ao PagSeguro sobre esse problema, que descobri quando estava pesquisando meios de pagamento para montar uma loja virtual para minha esposa.</div>
<div><br></div><div>Acho que na época ainda se chamava BRPay.</div><div><br></div><div>Vi que o valor repassado ao site era facilmente adulterado quando testei através dessa ferramenta:</div><div><a href="http://portswigger.net/burp/proxy.html">http://portswigger.net/burp/proxy.html</a></div>
<div>(muito mais fácil do que salvar o html e alterar, o que pode dar problema com o a var referer)</div><div><br></div><div>Agora, esse problema não existe também para pagamentos com boletos bancários? Eu não poderia pagar um valor abaixo do informado, cabendo ao lojista conferir o resultado?</div>
<div><br></div><div>[]s, MM</div><div><div><br><br></div><div><br><div class="gmail_quote">2011/7/19 Marcio Ferreira <span dir="ltr"><<a href="mailto:marciodesouzaferreira@gmail.com">marciodesouzaferreira@gmail.com</a>></span><br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;"><div>não é possível, isso deve ser um backdoor. Inadimissivel, incompreensivel, </div><div>inconcebível, até impossível que um programador permita uma vulnerabilidade</div>
<div>dessas, principalmente se tratando de dinheiro. </div>
<div><br></div><div>Qualquer júnior firebug pode ficar rico explorando esse tipo de vulnerabilidade.</div><div>É tão infantil que nem dá vontade de testar =P</div><div><br></div><div>Preciso de um aumento =P</div><div><br>
</div>[]s,<br><br><div>@_marcioferreira</div><div>Marcio Ferreira</div><div><a href="http://marciodesouzaferreira.blogspot.com/" target="_blank">marciodesouzaferreira.blogspot.com</a><br><br></div><div><span style="font-family:sans-serif;line-height:16px"><span style="font-size:x-small">"<a style="text-decoration:none"><font color="#000000">Perl</font></a> lives as the 'toolbox for Unix' "</span></span></div>
<br>
<br><br><div class="gmail_quote"><div class="im">2011/7/19 Eduardo Maia <span dir="ltr"><<a href="mailto:maia@eduardomaia.com" target="_blank">maia@eduardomaia.com</a>></span><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div><div></div><div class="h5">
Tô com uma cliente aqui que passou por uma dessa. Estava esperta e não enviou o produto.<br><br>Quem comentar ganha um doce no próximo ES:<br><br><a href="http://blog.eduardomaia.com/2011/07/bug-no-pagseguro-possibilita-fraudes-em.html" target="_blank">http://blog.eduardomaia.com/2011/07/bug-no-pagseguro-possibilita-fraudes-em.html</a>
<br></div></div><div class="im">_______________________________________________<br>
Rio-pm mailing list<br>
<a href="mailto:Rio-pm@pm.org" target="_blank">Rio-pm@pm.org</a><br>
<a href="http://mail.pm.org/mailman/listinfo/rio-pm" target="_blank">http://mail.pm.org/mailman/listinfo/rio-pm</a><br></div></blockquote></div><br>
<br>_______________________________________________<br>
Rio-pm mailing list<br>
<a href="mailto:Rio-pm@pm.org">Rio-pm@pm.org</a><br>
<a href="http://mail.pm.org/mailman/listinfo/rio-pm" target="_blank">http://mail.pm.org/mailman/listinfo/rio-pm</a><br></blockquote></div><br></div></div>