Barrapunto

Para ver a donde hace el post real hay que ver el código fuente de la página a ver a donde hace el POST, lo que puede no ser tan fácil como parece si lo hace a través de javascript.

Es posible que el POST se haga directamente al banco, de hecho, es lo normal en el paso final de pago. Lo que no es normal es que se haga sin HTTPS. Quizá los de Evertec están llamado a la pasarela de pago sin https, pero aún así me extraña, las pasarelas de pago no suelen admitir llamadas en abierto.

¿Estás seguro de que es el paso final antes de pagar? Puede que te presente una pantalla de confirmar pedido antes de llamar a la pasarela de pago, y sea eso lo esté haciendo en abierto. Que, por cierto, mal hecho por parte de Evertec.

El archivo post.js que está en el zip solo contiene un mensaje de error: "HTTP 404 - File not found".

Y si pulsas "Continuar"

¿ qué URL se invoca y qué contenido lleva ?

Lo puedes ver en el Firebug , en la misma pestaña Red de la captura que adjuntas

Jajaja

Así va el asunto: Domex, la empresa a la cual estoy pagando, dice que no es su problema, pero logré que notificaran a la empresa Cardnet.

Y de mi parte también contacté a la empresa Cardnet (Evertec internacional), y dice que tampoco es su culpa :D

Pero son empresas muy despreocupadas de la seguridad, Domex tiene dos certificados que no pertenecen a su dominio, son de otra empresa que se dedica a la misma cosa, y usan el mismo sistema, me huele a que el programador copió todo :D

Pero voy a regresar, estoy pensando seguir con Minitips.

He seguido programando, pero microcontroladores.