Bom dia Pedro, andei analisando aqui e percebi que ao enviar via e-mail o link pra o cliente abrir o boleto dele via web criando um link diretamente para o boleto do cliente usando o codigo <a title="numero do titulo" href="http://site_do_provedor/boleto/index.php?%numerotitulo%"> com a variável %numerotitulo% , percebo que se apenas mudar final do numero do titulo na barra de url do navegador, é possível ter acesso a todos os boletos do sistema de todos os clientes, que já vão com dados pessoais e cpf dos clientes. veja print abaixo:
Não seria pra o cliente apenas ter acesso aos seus boletos?
Como resolver isso?
Na minha humilde opinião, considero uma falha de segurança grave e que deve ser resolvida o mais rápido possível.
Aguardo retorno.
Respostas
sei sim deste recurso Pedro, porém ao colocar a senha o cliente não só tem acesso ao seu boleto como tb os boletos (e dados pessoas {nome, endereço, cpf ...}) de qualquer cliente que tenha boleto emitido.
Isso não era pra ser assim, imagino que com a senha fornecida o cliente era pra ter acesso apenas a seu boletos, e era pra o mkauth gerenciar isso.
Pedro Filho disse:
Carlos Roberto Borges disse:
Confirmou isso Pedro?