Pessoal, a respeito do webhook. Há como outra pessoa fazer uma requisição na minha url de retorno (simulando a gerencianet) e confirmando um pagamento fake ou o mTLS já protege contra isso ?
Termos mais procurados:
Webhook, mTLS e Gerencianet: Segurança e Implementação
PROCURE NO HISTÓRICO
CANAIS DE TEXTO
DISCUSSÕES
- Conceito de Payload Locations no PIX
- Inserção automática do formato do Pix copia e cola pelo WhatsApp
- Autenticação com Certificado em NextJS
- Acionamento de Webhooks em Pagamentos e Devoluções
- Consulta de Chave PIX na API de Envio
- Implementação da SDK do Pix em Next.js ou React
- Cobrança em Período de Teste Grátis de 7 dias
- Configuração de URLs para Recebimento de Status
- Especificação da URL do Webhook no Exemplo Pix
- Recebimento de Pagamentos via QR Code e Arduino
- Implementação do Módulo Gerencianet no Perfex CRM
- Repetição do Processo de Criação com txid
- Integrações com o Laravel e SDK de PHP da EFI
- Teste de Status de Pagamento em Ambiente de Homologação
- Tempo Médio de Análise de Documentos na Abertura de Conta
- Problemas com Token em Ambiente de Homologação
- Geração de Link de Pagamento e Reembolso
- Resolução de Delay nas Chamadas de Geração de QR Code e Pix em Node
- Funcionamento do Webhook em Ambiente de Homologação
- Retenção de Pagamento no PIX em Marketplace
- Cancelamento de Boleto e Remoção do DDA
- Utilização de Endpoints e Payload no Pix
- Integração de Pix no Bubble (Plataforma No-Code)
- Implementação de método em C# para cálculo de CRC16
- Possibilidade de Split na API de Pix
EXIBINDO RESPOSTAS:
Se a pessoa tiver a sua url e tambem tiver todos os dados da cobrança sem você ter o mTLS, ela pode enviar um POST para a url e se seu sistema validar os dados enviados, vai interpretar que foi pago. Ja que em uma cobrança todos os dados são expostos e são abertos. Por isso a importancia do mTLS com o certificado da GN.
Acredito que não, pois só consegue acessar a url quem tiver o certificado, logo é a gerencianet
Não com o mTLS, onde o m é de mútuo. Você tem que reconhecer a GN e a GN reconhecer você antes de qualquer transferência acontecer.
se o mTLS estiver implementado corretamente (que é requisito pra Gerencianet validar o setup) e não mexer depois (tirar o requisito de certificado do endpoint do webhook) estará protegida contra isso