Faturas - Qualquer Pessoa Acessa

[mzaidan]

Prezados, estou com um pequeno problema.

Ao fazer o pagamento, é gerada uma fatura e enviada pro cliente:

Algo do tipo:

http://www.website.com.br/viewinvoice.php?id=44

Acontece que, se o meu cliente for curioso e quiser alterar esse id para o 43, ele vê a fatura do outro cliente, a qual possui alguns dados.

Como bloquear esse tipo de acesso?

Grato.

[Igor B]

mzaidan,

Como você sabe que isso é um problema?

Se você estiver logado no admin do WHMCS, você pode ver qualquer fatura. Tente logar na conta de algum cliente sem estar logado no admin e poste o resultado.

[chuvadenovembro]

Acho que atribuindo um valor em "

Incremento do Nº da Fatura", você pode resolver este problema.

Este parametro está em Opções > Faturas

[Alexandre B]

Olá Amigos,

o problema do nosso companheiro realmente acontece eu verifiquei aqui no meu logado como admin, e depois loguei com senha e loguin de um cliente qualquer. realmente as faturas estão todas abertas para qualquer cliente logado acessar, não vi algo relacionado nas config do whmcs a ser alterado, acredito que seja falha mesmo do whmcs ou do arquivo viewinvoice.php talvez não esteja verificando no BD se a invoice pertence ao user que solicitou o acesso.

vou ver com o suporte do WHMCS aqui... porque eu desconhecia esse erro rsrsrs.

Abraços.

[Jesmarcelo]

Olá Amigos,

o problema do nosso companheiro realmente acontece eu verifiquei aqui no meu logado como admin, e depois loguei com senha e loguin de um cliente qualquer. realmente as faturas estão todas abertas para qualquer cliente logado acessar, não vi algo relacionado nas config do whmcs a ser alterado, acredito que seja falha mesmo do whmcs ou do arquivo viewinvoice.php talvez não esteja verificando no BD se a invoice pertence ao user que solicitou o acesso.

vou ver com o suporte do WHMCS aqui... porque eu desconhecia esse erro rsrsrs.

Abraços.

Você fez logout como admin e depois testou, ou deixou o admin e o cliente logado?

[Igor B]

Aqui o cliente que tenta acessar uma fatura que não seja de sua propriedade recebe a seguinte mensagem:

Ocorreu um erro. Por favor, tente novamente.

Vejam a imagem que está anexada.

Concluo que esse erro não está ocorrendo comigo.

[mzaidan]

É, erro meu, sorry.

Estava logado como administrador.

Ta normal mesmo.

Valeu.

[Alexandre B]

Você fez logout como admin e depois testou, ou deixou o admin e o cliente logado?

primeiro verifiquei logado como admin... consegui ver...

depois desloguei do admin e loguei mesmo como cliente... e também consegui ver várias faturas de outros clientes.

possuo um ticket aberto na WHMCS... vou esperar a resposta deles... para saber se é realmente uma falha ou uma burrice minha mesmo rsrsrsrsrsrs.

[hostbr]

Olha, aqui no meu caso se eu tento abrir outra fatura que não seja do login ele bloqueia.

Mas use o recurso de incremento no numero da fatura que ai pelo menos aquele numero xxx não será o numero de faturas que voce já emitiu.

Por exemplo, vejo algumas empresas iniciantes que tem esse numero sequencial, digamos 66, 67, ai já da para saber pelo menos que aquela empresa emitiu algo como 67 faturas até hoje.

Para evitar expor isso usa o incremento, e comece em um numero grande já e coloca um incremento entre elas.

Parece não ser importante, mas qualquer recurso que utilizarmos para preservar os dados financeiros da empresa é bem vindo.

[Alexandre B]

Prezados, estou com um pequeno problema.

Ao fazer o pagamento, é gerada uma fatura e enviada pro cliente:

Algo do tipo:

http://www.website.c...voice.php?id=44

Acontece que, se o meu cliente for curioso e quiser alterar esse id para o 43, ele vê a fatura do outro cliente, a qual possui alguns dados.

Como bloquear esse tipo de acesso?

Grato.

-

Você fez logout como admin e depois testou, ou deixou o admin e o cliente logado?

-

primeiro verifiquei logado como admin... consegui ver...

depois desloguei do admin e loguei mesmo como cliente... e também consegui ver várias faturas de outros clientes.

possuo um ticket aberto na WHMCS... vou esperar a resposta deles... para saber se é realmente uma falha ou uma burrice minha mesmo rsrsrsrsrsrs.

Pronto recebi uma resposta da WHMCS, realmente não existe nada de errado com o WHMCS.

eu verifiquei aqui no meu novamente mas dessa vez além de deslogar do admin eu esvaziei cookies, cache tudo... ai sim realmente não teve como acessar outras faturas... era burrice minha mesmo rsrsrsrs.

abraços.