Visitante Postado Dezembro 24, 2011 Compartilhar Postado Dezembro 24, 2011 Eu acho que é muita irresponsabilidade usar módulos de pagamento ou módulos que ficam mostrando saldo de MoIP/PagSeguro/etc no WHMCS que precisam gravar sua senha em um arquivo ou BD no seu servidor!!! Vocês nunca pensaram que isso fosse acontecer?! A primeira coisa que me veio na cabeça quando vi esses módulos é que seria muito fácil para o invasor sacar o dinheiro!!! Nunca usei e nunca vou usar, é muita irresponsabilidade e certamente quem usa isso não tem capacidade de ser empresário... #prontofalei Módulo de pagamento que salva a senha?? Nunca vi! Só sei daquele addons/módulo do Edvan, para ver o saldo, que você deve colocar a senha para funcionar, e, nas condições atuais em que a segurança do WHMCS está, é pedir pra se ferrar mesmo :P. Link para o comentário Compartilhar em outros sites More sharing options...
Lperez Postado Dezembro 24, 2011 Compartilhar Postado Dezembro 24, 2011 Eu acho que é muita irresponsabilidade usar módulos de pagamento ou módulos que ficam mostrando saldo de MoIP/PagSeguro/etc no WHMCS que precisam gravar sua senha em um arquivo ou BD no seu servidor!!! Vocês nunca pensaram que isso fosse acontecer?! A primeira coisa que me veio na cabeça quando vi esses módulos é que seria muito fácil para o invasor sacar o dinheiro!!! Nunca usei e nunca vou usar, é muita irresponsabilidade e certamente quem usa isso não tem capacidade de ser empresário... #prontofalei Eu não uso esses módulos que mostram o saldo no Whmcs, no meu caso, ele verificou quais as contas de email utilizadas no modulos de pagamentos, trocou a senha do email que utilizo na conta do Pagseguro e Moip, e depois entrou no nos dois sites e solicitou a troca de senha. E como no Pagseguro não existe PIN para confirmar a transferência, ele conseguiu transferir. Link para o comentário Compartilhar em outros sites More sharing options...
Cassiano Teixeira Postado Dezembro 24, 2011 Compartilhar Postado Dezembro 24, 2011 Esse modulo do Edvan de mostrar o saldo MoiP no WHMCS é um adianto e tanto. Porem desde quando comecei a usar, achava que o modo com que as informações fossem acessadas fosse diferente. Que agente não precisa-se colocar a senha e usuario assim gravado em um arquivo, pois se este arquivo fosse baixado por uma pessoa qualquer, essa terá todo o dado de acesso da conta. - É a crise da Europa interferindo no WHMCS. - Pode ser engano, mais será que este momento está sendo um grande pesadelo pro WHMCS e seus usuários? Link para o comentário Compartilhar em outros sites More sharing options...
Visitante Postado Dezembro 24, 2011 Compartilhar Postado Dezembro 24, 2011 Esse modulo do Edvan de mostrar o saldo MoiP no WHMCS é um adianto e tanto. Porem desde quando comecei a usar, achava que o modo com que as informações fossem acessadas fosse diferente. Que agente não precisa-se colocar a senha e usuario assim gravado em um arquivo, pois se este arquivo fosse baixado por uma pessoa qualquer, essa terá todo o dado de acesso da conta. - É a crise da Europa interferindo no WHMCS. - Pode ser engano, mais será que este momento está sendo um grande pesadelo pro WHMCS e seus usuários? Te garanto que dinheiro eles tem.. Link para o comentário Compartilhar em outros sites More sharing options...
tekobr Postado Dezembro 24, 2011 Compartilhar Postado Dezembro 24, 2011 Esse modulo do Edvan de mostrar o saldo MoiP no WHMCS é um adianto e tanto. Porem desde quando comecei a usar, achava que o modo com que as informações fossem acessadas fosse diferente. Que agente não precisa-se colocar a senha e usuario assim gravado em um arquivo, pois se este arquivo fosse baixado por uma pessoa qualquer, essa terá todo o dado de acesso da conta. Nem se gravar no banco de dados vai adiantar, pois nesse tipo de invasão que está acontecendo a pessoa tem acesso ao banco de dados e, consequentemente, a qualquer senha arquivada. Link para o comentário Compartilhar em outros sites More sharing options...
edvan Postado Dezembro 24, 2011 Compartilhar Postado Dezembro 24, 2011 Eu acho que é muita irresponsabilidade usar módulos de pagamento ou módulos que ficam mostrando saldo de MoIP/PagSeguro/etc no WHMCS que precisam gravar sua senha em um arquivo ou BD no seu servidor!!! Vocês nunca pensaram que isso fosse acontecer?! A primeira coisa que me veio na cabeça quando vi esses módulos é que seria muito fácil para o invasor sacar o dinheiro!!! Nunca usei e nunca vou usar, é muita irresponsabilidade e certamente quem usa isso não tem capacidade de ser empresário... #prontofalei Eu até compreendo seu questionamento... mas sacar o R$ como? Só se for transferindo para uma conta do próprio titular... Ou usando uma transferência entre contas MoIP/PagSeguro o que poderia ser estornando obviamente! Link para o comentário Compartilhar em outros sites More sharing options...
Alexandre Duran Postado Dezembro 24, 2011 Compartilhar Postado Dezembro 24, 2011 Eu até compreendo seu questionamento... mas sacar o R$ como? Só se for transferindo para uma conta do próprio titular... Ou usando uma transferência entre contas MoIP/PagSeguro o que poderia ser estornando obviamente! Tb pensei nisso, porem se o cara mudar a senha/email de contato vc pode esperar sentado o suporte do Moip e Pageseguro faze algo, até lá já se passaram mais de 45 dias com certeza. Link para o comentário Compartilhar em outros sites More sharing options...
Mr Bomber Postado Dezembro 24, 2011 Compartilhar Postado Dezembro 24, 2011 Se estao usando o fopen pra gravar o arquivo pra upar a shell... não é simples desabilitar o fopen no php.ini? Link para o comentário Compartilhar em outros sites More sharing options...
tekobr Postado Dezembro 25, 2011 Compartilhar Postado Dezembro 25, 2011 Eu até compreendo seu questionamento... mas sacar o R$ como? Só se for transferindo para uma conta do próprio titular... Ou usando uma transferência entre contas MoIP/PagSeguro o que poderia ser estornando obviamente! Mas esses dados ele já tem acesso no WHMCS, se esqueceu que este tem o email e senha gravados para enviar os emails aos clientes? E com a senha do MoIP ele pode solicitar a transferência, inclusive um novo PIN que vai para o email que o larápio tem a senha... Tudo é bem simples e rápido. Por isso que meu email do MoIP não é o mesmo do WMHCS. Link para o comentário Compartilhar em outros sites More sharing options...
tekobr Postado Dezembro 25, 2011 Compartilhar Postado Dezembro 25, 2011 Tb pensei nisso, porem se o cara mudar a senha/email de contato vc pode esperar sentado o suporte do Moip e Pageseguro faze algo, até lá já se passaram mais de 45 dias com certeza. E isso se eles devolverem, afinal de contas o uso do email e senha só deveria ser de conhecimento e feito pelo proprietário da conta. Link para o comentário Compartilhar em outros sites More sharing options...
Posts Recomendados