rus56
Участник
- Сообщения
- 126
- Реакции
- 16
Что то знакомое! посмотри - может задумку легче будет переделать.voodooas написал(а):rus56 - в md5 шифруете - например md5($pass.$login.$mail) либо md5("blablabla".$pass)
при проверке на входе делаете то же самое.
if(md5("blablabla".$POST['pass'])==$data['pass']) проходим дальше.
Так получается довольно таки уникальный хеш набора символов.
Все в набросках.
Или https://servahoc.ru/threads/xranenie-parolej-v-md5.2652/rus56 написал(а):Что то знакомое! посмотри - может задумку легче будет переделать.
voodooas
Участник
- Сообщения
- 21
- Реакции
- 7
Не понятно только почему все используют функцию
strtolower
Ведь она приводит текст к маленьким буквам и потому NnNnN = nnnnn = NNNnn = уменьшение уникальности логина/пароля.
Каждый для себя может придумать варианты шифрования, например такой - md5(md5($pass)) - двойной хеш. И уже не узнать на какой ферме как зашифрован пасс.
strtolower
Ведь она приводит текст к маленьким буквам и потому NnNnN = nnnnn = NNNnn = уменьшение уникальности логина/пароля.
Каждый для себя может придумать варианты шифрования, например такой - md5(md5($pass)) - двойной хеш. И уже не узнать на какой ферме как зашифрован пасс.
нет, у меня на много лучше, скажу только, что есть алгоритм)APTEMOH написал(а):Ты шифруешь хеш несколько раз? Или у тебя соль 500 символов?
P.S. Кстати есть такой алгоритм в PHP
voodooas
Участник
- Сообщения
- 21
- Реакции
- 7
У меня личный алгоритм, я когда начинал с md5+$sol(random)voodooas написал(а):MCRYPT или Anubis?
Лично я пользуюсь md5("blablabla".$pass) и мне этого достаточно.
Канстантин
Местный
- Сообщения
- 58
- Реакции
- 5
Подскажите, взламывают ферму. Кошелек после первого ввода не изменить, платежный пароль тоже. Взламывают таким образом, что выплаты просто начинают идти на другой кошелек и он указывается в выплатах, то есть старый кошелек несколько выплат потом идет новый пока его не удалишь, через бд. После этого в поле кошелек для вывода возвращается старый кошелек. Где дыра и как ее найти?
rus56
Участник
- Сообщения
- 126
- Реакции
- 16
Это управление уже через админкку! В личку кинь ссылку на проект! Посмотрю!Канстантин написал(а):Подскажите, взламывают ферму. Кошелек после первого ввода не изменить, платежный пароль тоже. Взламывают таким образом, что выплаты просто начинают идти на другой кошелек и он указывается в выплатах, то есть старый кошелек несколько выплат потом идет новый пока его не удалишь, через бд. После этого в поле кошелек для вывода возвращается старый кошелек. Где дыра и как ее найти?
Канстантин
Местный
- Сообщения
- 58
- Реакции
- 5
Нет там управления через админку, в админке нет функции смены кошелька и просмотра плат пароля. Базу данных тоже не взломал, так как тогда бы все вывел, просто происходит добавления нового кошелька и узнает видимо логин пароль и платежный пароль инъекцией. Дыры были удалены как было описано тут ранее, и поставлена защита от символов. Все ровно такие дела... еще нет шифрования паролей.rus56 написал(а):Это управление уже через админкку! В личку кинь ссылку на проект! Посмотрю!
Последнее редактирование:
Канстантин
Местный
- Сообщения
- 58
- Реакции
- 5
Канстантин написал(а):Нет там управления через админку, в админке нет функций смены кошелька и пароля также просмотра плат пароля. Базу данных тоже не взломал, так как тогда бы все вывел, просто происходит добавления нового кошелька и узнает видимо логин пароль и платежный пароль инъекцией. Дыры были удалены как было описано тут ранее, и поставлена защита от символов. Все ровно такие дела...
pligin
Участник
- Сообщения
- 3.654
- Реакции
- 1.336
Обнуляйте переменные.Канстантин написал(а):Подскажите, взламывают ферму. Кошелек после первого ввода не изменить, платежный пароль тоже. Взламывают таким образом, что выплаты просто начинают идти на другой кошелек и он указывается в выплатах, то есть старый кошелек несколько выплат потом идет новый пока его не удалишь, через бд. После этого в поле кошелек для вывода возвращается старый кошелек. Где дыра и как ее найти?
Перед тем как произвести выплату достаньте из базы кошелек еще раз, а не передавайте значение со страницы оплаты.
Вы используете, 100%, форму без возможности редактирования, поэтому можно изменить значение через "Свойства элемента" или "Код элемента" в браузерах. И потом Вы это же значение посылаете на обработку!!! Зачем?
Перед кодом автоматической выплаты достаньте кошелек из базы и платите. Можно потом хоть х...й писать туда, а выплата пойдет только на один кошелек
pligin
Участник
- Сообщения
- 3.654
- Реакции
- 1.336
и про пароль....
скорее всего, у Вас проверяется пара кошелек-пароль. И чтобы вывести деньги с чужого аккаунта ему нужно знать только номер своего кошелька и свой пароль (из его аккаунта).
Доступ к аккаунту в игре получить не сложно (у меня есть сливы нескольких игр, а это около 6к аккаунтов), и во всех играх используют одни и те же пароли
скорее всего, у Вас проверяется пара кошелек-пароль. И чтобы вывести деньги с чужого аккаунта ему нужно знать только номер своего кошелька и свой пароль (из его аккаунта).
Доступ к аккаунту в игре получить не сложно (у меня есть сливы нескольких игр, а это около 6к аккаунтов), и во всех играх используют одни и те же пароли
Канстантин
Местный
- Сообщения
- 58
- Реакции
- 5
Очень интересно, а можете подсказать как это реализовать на коде, есть ли рабочий пеймент с этой реализацией?pligin написал(а):Обнуляйте переменные.
Перед тем как произвести выплату достаньте из базы кошелек еще раз, а не передавайте значение со страницы оплаты.
Вы используете, 100%, форму без возможности редактирования, поэтому можно изменить значение через "Свойства элемента" или "Код элемента" в браузерах. И потом Вы это же значение посылаете на обработку!!! Зачем?
Перед кодом автоматической выплаты достаньте кошелек из базы и платите. Можно потом хоть х...й писать туда, а выплата пойдет только на один кошелек
pligin
Участник
- Сообщения
- 3.654
- Реакции
- 1.336
Могу вечером реализовать. Кидайте свой скриптКанстантин написал(а):Очень интересно, а можете подсказать как это реализовать на коде, есть ли рабочий пеймент с этой реализацией?
remmodulek
Участник
- Сообщения
- 20
- Реакции
- 1
как закрыть дыру от просмотра кода элемента на странице выплат?Это то место где можно указать любой кошелёк для выплат!
Любой кошелёк для выплат 7и и 8и значный должен быть только 1 номер игрока и не какой другой.Может модуль есть какой чтобы какой попало кошелёк не вводить для выплат?
Вот пример взлома аккаунта-Берём покупаем базу взломаных мыл и паролей с других ферм-запускаем перебор паролей и логинов на сайтах ферм через спец проги
Игроки любят вводить простые и лёгкие ники для взлома и одни и те же пароли указывают на сайтах.
Так вот если хакер поимеет доступ то он свободно может вывести все средства.
И да Платёжный пароль 4 значный из цифр тут не в помощ Он легко взламывается перебором
1111 2222 3333 1234 4321 и так далее тоже спец прогами.
как поиметь базу юзеров это дописать ?menu=users
Как поиметь базу мыл дописать ?menu=payments
То что там защищено звёздочками *** это всё ерунда и можно даже догадаться что за мыло\и хорошо его потом заспамить своими проектами
И это ещё не всё что я знаю есть ещё темы взлома ферм простыми иньекциями с дырявых модулей!
О них могу рассказать в вип разделе под хайдом!
Любой кошелёк для выплат 7и и 8и значный должен быть только 1 номер игрока и не какой другой.Может модуль есть какой чтобы какой попало кошелёк не вводить для выплат?
Вот пример взлома аккаунта-Берём покупаем базу взломаных мыл и паролей с других ферм-запускаем перебор паролей и логинов на сайтах ферм через спец проги
Игроки любят вводить простые и лёгкие ники для взлома и одни и те же пароли указывают на сайтах.
Так вот если хакер поимеет доступ то он свободно может вывести все средства.
И да Платёжный пароль 4 значный из цифр тут не в помощ Он легко взламывается перебором
1111 2222 3333 1234 4321 и так далее тоже спец прогами.
как поиметь базу юзеров это дописать ?menu=users
Как поиметь базу мыл дописать ?menu=payments
То что там защищено звёздочками *** это всё ерунда и можно даже догадаться что за мыло\и хорошо его потом заспамить своими проектами
И это ещё не всё что я знаю есть ещё темы взлома ферм простыми иньекциями с дырявых модулей!
О них могу рассказать в вип разделе под хайдом!
Последнее редактирование:
pligin
Участник
- Сообщения
- 3.654
- Реакции
- 1.336
Это не дыра. Это Обычная возможность браузеров показывать код, который отображает в виде страниц.remmodulek написал(а):как закрыть дыру от просмотра кода элемента на странице выплат?
А проблемы с этим только от «кривых» рук.
remmodulek
Участник
- Сообщения
- 20
- Реакции
- 1
так опасно это или нет и как исправить просмотр кода элемента и отправка из формы левого кошелька для выплат.
Ну вот в файле регистрации надо указать P******** он охранится в базе даных
А при выплате проверять введёный P******** с кошельком из БД P******** и если они совпали то делать выплату а если нет то отказ.
Ещё можно в файле настроек внутри аккаунта указать поле платёжные даные с P******** которые сохранятся в БД .
И всем советую поменять платёжный пароль с 4 знаков на 10 знаков так сложней сломать будет перебором.И ещё конечно же защитить ферму от переборов паролей спец скриптом и банить таких переборщиков по ипи...
Ну вот в файле регистрации надо указать P******** он охранится в базе даных
А при выплате проверять введёный P******** с кошельком из БД P******** и если они совпали то делать выплату а если нет то отказ.
Ещё можно в файле настроек внутри аккаунта указать поле платёжные даные с P******** которые сохранятся в БД .
И всем советую поменять платёжный пароль с 4 знаков на 10 знаков так сложней сломать будет перебором.И ещё конечно же защитить ферму от переборов паролей спец скриптом и банить таких переборщиков по ипи...
Последнее редактирование:
pligin
Участник
- Сообщения
- 3.654
- Реакции
- 1.336
Те значения переменных, которые отображаются и отправляются на исполнения, должны обнуляться и извлекаться из базы в момент выполнения операции (оплаты).remmodulek написал(а):так опасно это или нет и как исправить просмотр кода элемента и отправка из формы левого кошелька для выплат.
Передавать «опасные» значения методами GET и POST не нужно
pligin
Участник
- Сообщения
- 3.654
- Реакции
- 1.336
Зачем столько проверок? И зачем передавать номер кошелька из формы, если он уже введен и не подлежит изменению?remmodulek написал(а):так опасно это или нет и как исправить просмотр кода элемента и отправка из формы левого кошелька для выплат.
Ну вот в файле регистрации надо указать P******** он охранится в базе даных
А при выплате проверять введёный P******** с кошельком из БД P******** и если они совпали то делать выплату а если нет то отказ.
Ещё можно в файле настроек внутри аккаунта указать поле платёжные даные с P******** которые сохранятся в БД .
И всем советую поменять платёжный пароль с 4 знаков на 10 знаков так сложней сломать будет перебором.И ещё конечно же защитить ферму от переборов паролей спец скриптом и банить таких переборщиков по ипи...
remmodulek
Участник
- Сообщения
- 20
- Реакции
- 1
В моей ферме вводиш любой кошелёк для выплат плат система Паер!Но я могу проверить ещё раз сделать с нового аккаунта выплаты на 2 разных кошелька.
Я к тому что если в ферму набрать 300 игроков то будут хакеры которые лёгкие пароли и ники по словарю бомбит будут-они поимеют доступ внутрь акаунта и сделают выплату на свой кошелёк и никакой защиты не сработает на ввод кошелька для выплат и ввод плат пароля не поможет.Платёжный пароль вообще взламывается простым скриптом выкладывать не буду.
Ещё 1 баг в моей ферме это обнулились выплаты через 1 день на странице myferma.ru/ ?menu=payments Была таблица выплат 4 выплаты теперь ничего!Буду искать причину обнуления статистики выплат.
Я к тому что если в ферму набрать 300 игроков то будут хакеры которые лёгкие пароли и ники по словарю бомбит будут-они поимеют доступ внутрь акаунта и сделают выплату на свой кошелёк и никакой защиты не сработает на ввод кошелька для выплат и ввод плат пароля не поможет.Платёжный пароль вообще взламывается простым скриптом выкладывать не буду.
Ещё 1 баг в моей ферме это обнулились выплаты через 1 день на странице myferma.ru/ ?menu=payments Была таблица выплат 4 выплаты теперь ничего!Буду искать причину обнуления статистики выплат.
Последнее редактирование: