paulacastro224023

Dec 1, 2020

Segurança do Webhook e mTLS contra Requisições Fraudulentas

webhookmTLSGerencianetsegurançaimplementaçãocertificado

Pessoal, a respeito do webhook. Há como outra pessoa fazer uma requisição na minha url de retorno (simulando a gerencianet) e confirmando um pagamento fake ou o mTLS já protege contra isso ?

Respostas (6):

oleoessencial

01/12/2020

Se a pessoa tiver a sua url e tambem tiver todos os dados da cobrança sem você ter o mTLS, ela pode enviar um POST para a url e se seu sistema validar os dados enviados, vai interpretar que foi pago. Ja que em uma cobrança todos os dados são expostos e são abertos. Por isso a importancia do mTLS com o certificado da GN.

paulacastro224023

01/12/2020

Acredito que não, pois só consegue acessar a url quem tiver o certificado, logo é a gerencianet

rubenskuhl

01/12/2020

Não com o mTLS, onde o m é de mútuo. Você tem que reconhecer a GN e a GN reconhecer você antes de qualquer transferência acontecer.

anoni_mato

01/12/2020

se o mTLS estiver implementado corretamente (que é requisito pra Gerencianet validar o setup) e não mexer depois (tirar o requisito de certificado do endpoint do webhook) estará protegida contra isso

paulacastro224023

01/12/2020

Obrigado Rubens, aqui tivemos sucesso na implementação do webhook em produção

oleoessencial

01/12/2020

Exato, por isso coloquei a importancia do mTLS 🙂

paulacastro224023

Segurança do Webhook e mTLS contra Requisições Fraudulentas

Respostas (6):

oleoessencial

paulacastro224023

rubenskuhl

anoni_mato

paulacastro224023

oleoessencial

A Comunidade Efí no Discord reúne mais de 11118 desenvolvedores 👨‍💻 incríveis.

CONECTAR AO DISCORD

📰 Discussões relacionadas