Сегодня я получил заказ, который был установлен как ожидающий.Пытаясь проверить платеж через Paypal, я увидел, что в PayPal такой заказ не зарегистрирован.Я также не получил уведомление по электронной почте от PayPal.
Затем я открыл журнал доступа к серверу, чтобы выяснить, как можно разместить заказ с помощью метода оплаты Paypal Standard без завершения процесса оплаты (Перенаправление).
Что я обнаружил, так это то, что этот плеер сделал POST-запрос к /index.php?route=payment/pp_standard/callback.
Сравнил процесс / поток оформления заказа из других заказов в файле журнала ивсякий раз, когда есть POST к этому пути, это от определенного реферера (paypal IPN) и IP.На этот раз реферером была страница оформления заказа (checkout / checkout)
"message": "X.X.X.X - - [07/Feb/2019:15:26:57 +0200] \"POST /index.php?route=payment/pp_standard/callback HTTP/2.0\" 200 20 \"https://mydomain/index.php?route=checkout/checkout\" \"Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3578.98 Safari/537.36\""
Хотелось бы, чтобы я реализовал дамп в файл запроса BODY, чтобы мы могли посмотреть, что было опубликовано.Также есть ли способ уменьшить будущие инъекции поддельных заказов?Я полагаю, что мог бы разрешить только IP-адрес Paypal для доступа к методу обратного вызова.Есть идеи?