Olá amigo, comprei o seu plugin para o ClienteExec a um tempo, nunca tive problemas, porém hoje um cliente conseguiu creditar dinheiro na própria conta com um pagamento inválido, pois não o recebi o pagamento em minha conta no pagseguro...
Já alterei o token de retorno do pagseguro, porém gostaria de saber o que procurar para descobrir porque ele conseguiu a aprovação do pagamento sem eu ter recebido o pagamento em minha conta pagseguro. Analisando meus logs do servidor, consta 1 tentativa de pagamento rejeitada e outra tentativa aceita, foram 2 tentativas, aqui estão as entradas do log para o callback:
186.234.16.8 - - [29/Oct/2012:07:13:53 -0200] "POST /plugins/gateways/pagseguro/callback.php HTTP/1.1" 200 - "-" "Jakarta Commons-HttpClient/3.1"
186.234.16.8 - - [29/Oct/2012:09:17:16 -0200] "POST /plugins/gateways/pagseguro/callback.php HTTP/1.1" 200 - "-" "Jakarta Commons-HttpClient/3.1"
O log do clientexec:
Parece que ele utilizou algum exploit da função de callback.
A primeira ocorrência foi rejeitada, a segunda aceita.
Estou reportando isso porque pelo que eu vi parece ser uma falha grave.
Já agradeço antecipadamente.
Walker Gusmão