[Rio-pm] [OT]: PagSeguro facilita fraudes em pagamento
Marcos Machado
listas em istf.com.br
Terça Julho 19 06:00:58 PDT 2011
Tecnicamente acho que isso nem poderia ser considerado um bug. É apenas um
projeto ruim com erros conceituais.
Esse problema existe desde o início dos tempos. Há pelo menos 4 anos enviei
um e-mail ao PagSeguro sobre esse problema, que descobri quando estava
pesquisando meios de pagamento para montar uma loja virtual para minha
esposa.
Acho que na época ainda se chamava BRPay.
Vi que o valor repassado ao site era facilmente adulterado quando testei
através dessa ferramenta:
http://portswigger.net/burp/proxy.html
(muito mais fácil do que salvar o html e alterar, o que pode dar problema
com o a var referer)
Agora, esse problema não existe também para pagamentos com boletos
bancários? Eu não poderia pagar um valor abaixo do informado, cabendo ao
lojista conferir o resultado?
[]s, MM
2011/7/19 Marcio Ferreira <marciodesouzaferreira em gmail.com>
> não é possível, isso deve ser um backdoor. Inadimissivel, incompreensivel,
> inconcebível, até impossível que um programador permita uma vulnerabilidade
> dessas, principalmente se tratando de dinheiro.
>
> Qualquer júnior firebug pode ficar rico explorando esse tipo de
> vulnerabilidade.
> É tão infantil que nem dá vontade de testar =P
>
> Preciso de um aumento =P
>
> []s,
>
> @_marcioferreira
> Marcio Ferreira
> marciodesouzaferreira.blogspot.com
>
> "Perl lives as the 'toolbox for Unix' "
>
>
>
> 2011/7/19 Eduardo Maia <maia em eduardomaia.com>
>
>> Tô com uma cliente aqui que passou por uma dessa. Estava esperta e não
>> enviou o produto.
>>
>> Quem comentar ganha um doce no próximo ES:
>>
>>
>> http://blog.eduardomaia.com/2011/07/bug-no-pagseguro-possibilita-fraudes-em.html
>> _______________________________________________
>> Rio-pm mailing list
>> Rio-pm em pm.org
>> http://mail.pm.org/mailman/listinfo/rio-pm
>>
>
>
> _______________________________________________
> Rio-pm mailing list
> Rio-pm em pm.org
> http://mail.pm.org/mailman/listinfo/rio-pm
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://mail.pm.org/pipermail/rio-pm/attachments/20110719/4651f908/attachment-0001.html>
Mais detalhes sobre a lista de discussão Rio-pm