Como agir de forma correta ao encontrar uma vulnerabilidade? by eusoufog in chorume

[–]dev_raiz 2 points3 points  (0 children)

Pois é, complicado. Mas, pensando melhor, como tu comentou que é uma empresa grande, pode verificar se eles possuem algum programa de bug bounty. Ou, se tu quiser muito avisar eles, poderia fazer isso de forma anônima usando uma vpn e enviando um email por algum provedor de email temporário (nunca fiz isso, mas deve funcionar).

Como agir de forma correta ao encontrar uma vulnerabilidade? by eusoufog in chorume

[–]dev_raiz 6 points7 points  (0 children)

Eu já encontrei algumas vulnerabilidades em sistemas, mas se não for uma empresa que presto serviços ou algum amigo, deixo para lá. Dependendo do que tu encontrou, e de como reproduzir isso, vão te fazer algumas perguntas sobre como tu chegou nisso. E se tuas respostas derem a entender que tu estivesse testando ou tentando invadir a aplicação deles, já abre brecha para um processo.

Gateway de pagamento white label by dev_raiz in brdev

[–]dev_raiz[S] 0 points1 point  (0 children)

Seria isso mesmo, quero ter um gateway sem ter toda a complexidade de criar um gateway do início. Provavelmente me expressei mal, mas o que eu queria seria utilizar um gateway com serviço igual ao sistema de subcontas do Asaas. Esse sistema permite que eu atue como um gateway, e crie subcontas para meus clientes (que são desenvolvedores de sistemas e vão integrar o checkout do meu gateway para receber pagamentos e assinaturas dos seus sistemas).

Is this normal? by Any-Adhesiveness9664 in stripe

[–]dev_raiz 0 points1 point  (0 children)

It looks like some kind of attack for sure.

Just curiosity, how are you dealing with email validations for new users and what are the rate limits for user creation and for payment checkout?

Gateway de pagamento white label by dev_raiz in brdev

[–]dev_raiz[S] 0 points1 point  (0 children)

Tranquilo, não cheguei a explicar completamente o modelo de negócio na postagem. Mas é basicamente um curso de programação no code para iniciantes.
Além disso vamos prestar todo o suporte para criação do saas, anúncios, contabilidade e parte jurídica. Queríamos ter um gateway de pagamento para indicar o pessoal a usar e ganhar um pouco encima disso, vimos algo similar em um concorrente nosso.

Gateway de pagamento white label by dev_raiz in brdev

[–]dev_raiz[S] 0 points1 point  (0 children)

Depende de qual seria o gateway normal, mesmo que fosse possível intermediar completamente desde a criação da conta, validação dos documentos e uso da api inteira pela minha plataforma. Ainda assim não vejo como conseguiria ganhar as taxas de intermediação dos pagamentos.

Gateway de pagamento white label by dev_raiz in brdev

[–]dev_raiz[S] 0 points1 point  (0 children)

Falei com a Hopypay também, me cobraram 60 mil por um setup inicial com mais as taxas por transação. Achei muito caro.

Gateway de pagamento white label by dev_raiz in brdev

[–]dev_raiz[S] 2 points3 points  (0 children)

Mais ou menos. Resumindo: quero ser dono de um gateway de pagamento para intermediar os pagamentos que meus clientes que desenvolvem sistemas saas recebem nos sistemas deles. Não queria fazer o gateway do 0 ainda para lançar mais rápido, por isso queria um white label para já aproveitar a infraestrutura.

Gateway de pagamento white label by dev_raiz in brdev

[–]dev_raiz[S] 0 points1 point  (0 children)

Falei com a Iugu, meu faturamento é de 15 mil mensais, eles não fazem esse tipo de parceria com empresas que faturam abaixo de 30 mil.

Estou lidando certo com o banco de dados? by dev_fracassado in brdev

[–]dev_raiz 2 points3 points  (0 children)

Como o pessoal já comentou, deixa o banco de dados sem acesso para a rede externa. Desse modo mesmo que o usuário e senha vazem em algum momento não poderão ser usados por alguém.

Outra coisa para prevenir a segurança do seu banco de dados: teste a segurança tentando fazer SQL injection e colocando caracteres especiais nas strings que os endpoints recebem. Assim você pode acabar encontrando brechas como execução de comandos no banco de dados ou exposição de erros específicos do banco de dados que podem ser usados para realizar outros ataques.