Correto, Marcos, isso não é um bug, mas sim uma falha na arquitetura. Eu utilizei o termo "bug" no blog porque ele é mais compreensível por usuários comuns.<br><br>O PagSeguro não checa o HTTP_REFERER, mas isso é fácil forjar também, é só informar o HTTP_REFERER desejado no header da requisição HTTP.<br>
<br>Quanto ao boleto bancário, sim, também é possível alterar o valor total. Não são todos os boletos que ficam registrados no banco, existe a categoria chamada literalmente "sem registro", que você gera dentro do seu sistema e não informa ao banco a geração do boleto. O banco só fica sabendo na hora do pagamento.<br>
<br>Só que o conceito "boleto bancário" é literalmente da época da vovó, e não foi modernizado. Tem carteira de cobrança que ainda demora 2 dias úteis para o banco informar que um boleto XPTO foi pago.<br><br>Não contem pra ninguém. Nem tentem fazer isso em casa.<br>
<br>Existe uma empresa de médio porte que você pode gerar um boleto bancário, usando logicamente o mesmo "Nosso número" do boleto que você recebeu ("nosso número" é uma espécie de primary key), mas com um valor bem mais baixo. Você paga o boleto baratim baratim, e recebe um certificado de quitação. Nego confere só o "Nosso Número" / primary key, não confere o valor, multas e etc. E é assim que funciona no geral.<br>
<br>Sabe aquele crediário de 18 prestações que você abriu naquele grande varejista? Você paga 10 meses de uma só vez. Aí fica 7 meses sem pagar. Você não está devendo nada, afinal pagou 10 meses antecipados. Nego coloca seu nome no SPC pq você está há 7 meses sem pagar. Falo isso depois de uma conversa com um advogado conhecido meu, que era analista de sistemas antes de ser advogado, e ganha uma grana processando o mesmo varejista através de diversos clientes. O varejista paga as indenizações, mas não corrige a porcaria do sistema.<br>
<br>Resumindo... os sistemas de pagamento do Brasil são uma vergonha...<br><br><br><br><div class="gmail_quote">2011/7/19 Marcos Machado <span dir="ltr"><<a href="mailto:listas@istf.com.br">listas@istf.com.br</a>></span><br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">Tecnicamente acho que isso nem poderia ser considerado um bug. É apenas um projeto ruim com erros conceituais.<div><br>
</div><div>Esse problema existe desde o início dos tempos. Há pelo menos 4 anos enviei um e-mail ao PagSeguro sobre esse problema, que descobri quando estava pesquisando meios de pagamento para montar uma loja virtual para minha esposa.</div>
<div><br></div><div>Acho que na época ainda se chamava BRPay.</div><div><br></div><div>Vi que o valor repassado ao site era facilmente adulterado quando testei através dessa ferramenta:</div><div><a href="http://portswigger.net/burp/proxy.html" target="_blank">http://portswigger.net/burp/proxy.html</a></div>
<div>(muito mais fácil do que salvar o html e alterar, o que pode dar problema com o a var referer)</div><div><br></div><div>Agora, esse problema não existe também para pagamentos com boletos bancários? Eu não poderia pagar um valor abaixo do informado, cabendo ao lojista conferir o resultado?</div>
<div><br></div><div>[]s, MM</div><div><div></div><div class="h5"><div><div><br><br></div><div><br><div class="gmail_quote">2011/7/19 Marcio Ferreira <span dir="ltr"><<a href="mailto:marciodesouzaferreira@gmail.com" target="_blank">marciodesouzaferreira@gmail.com</a>></span><br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div>não é possível, isso deve ser um backdoor. Inadimissivel, incompreensivel, </div><div>inconcebível, até impossível que um programador permita uma vulnerabilidade</div>
<div>dessas, principalmente se tratando de dinheiro. </div>
<div><br></div><div>Qualquer júnior firebug pode ficar rico explorando esse tipo de vulnerabilidade.</div><div>É tão infantil que nem dá vontade de testar =P</div><div><br></div><div>Preciso de um aumento =P</div><div><br>
</div>[]s,<br><br><div>@_marcioferreira</div><div>Marcio Ferreira</div><div><a href="http://marciodesouzaferreira.blogspot.com/" target="_blank">marciodesouzaferreira.blogspot.com</a><br><br></div><div><span style="font-family:sans-serif;line-height:16px"><span style="font-size:x-small">"<a style="text-decoration:none"><font color="#000000">Perl</font></a> lives as the 'toolbox for Unix' "</span></span></div>
<br>
<br><br><div class="gmail_quote"><div>2011/7/19 Eduardo Maia <span dir="ltr"><<a href="mailto:maia@eduardomaia.com" target="_blank">maia@eduardomaia.com</a>></span><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div><div></div><div>
Tô com uma cliente aqui que passou por uma dessa. Estava esperta e não enviou o produto.<br><br>Quem comentar ganha um doce no próximo ES:<br><br><a href="http://blog.eduardomaia.com/2011/07/bug-no-pagseguro-possibilita-fraudes-em.html" target="_blank">http://blog.eduardomaia.com/2011/07/bug-no-pagseguro-possibilita-fraudes-em.html</a>
<br></div></div><div>_______________________________________________<br>
Rio-pm mailing list<br>
<a href="mailto:Rio-pm@pm.org" target="_blank">Rio-pm@pm.org</a><br>
<a href="http://mail.pm.org/mailman/listinfo/rio-pm" target="_blank">http://mail.pm.org/mailman/listinfo/rio-pm</a><br></div></blockquote></div><br>
<br>_______________________________________________<br>
Rio-pm mailing list<br>
<a href="mailto:Rio-pm@pm.org" target="_blank">Rio-pm@pm.org</a><br>
<a href="http://mail.pm.org/mailman/listinfo/rio-pm" target="_blank">http://mail.pm.org/mailman/listinfo/rio-pm</a><br></blockquote></div><br></div></div>
</div></div><br>_______________________________________________<br>
Rio-pm mailing list<br>
<a href="mailto:Rio-pm@pm.org">Rio-pm@pm.org</a><br>
<a href="http://mail.pm.org/mailman/listinfo/rio-pm" target="_blank">http://mail.pm.org/mailman/listinfo/rio-pm</a><br></blockquote></div><br>