rus56
Участник
- Сообщения
- 126
- Реакции
- 16
Что то знакомое! посмотри - может задумку легче будет переделать.voodooas написал(а):
Или https://servahoc.ru/threads/xranenie-parolej-v-md5.2652/rus56 написал(а):
voodooas
Участник
- Сообщения
- 21
- Реакции
- 7
Не понятно только почему все используют функцию
strtolower
Ведь она приводит текст к маленьким буквам и потому NnNnN = nnnnn = NNNnn = уменьшение уникальности логина/пароля.
Каждый для себя может придумать варианты шифрования, например такой - md5(md5($pass)) - двойной хеш. И уже не узнать на какой ферме как зашифрован пасс.
strtolower
Ведь она приводит текст к маленьким буквам и потому NnNnN = nnnnn = NNNnn = уменьшение уникальности логина/пароля.
Каждый для себя может придумать варианты шифрования, например такой - md5(md5($pass)) - двойной хеш. И уже не узнать на какой ферме как зашифрован пасс.
Или у тебя соль 500 символов? voodooas
Участник
- Сообщения
- 21
- Реакции
- 7
Канстантин
Местный
- Сообщения
- 58
- Реакции
- 5
Подскажите, взламывают ферму. Кошелек после первого ввода не изменить, платежный пароль тоже. Взламывают таким образом, что выплаты просто начинают идти на другой кошелек и он указывается в выплатах, то есть старый кошелек несколько выплат потом идет новый пока его не удалишь, через бд. После этого в поле кошелек для вывода возвращается старый кошелек. Где дыра и как ее найти?
rus56
Участник
- Сообщения
- 126
- Реакции
- 16
Канстантин
Местный
- Сообщения
- 58
- Реакции
- 5
Нет там управления через админку, в админке нет функции смены кошелька и просмотра плат пароля. Базу данных тоже не взломал, так как тогда бы все вывел, просто происходит добавления нового кошелька и узнает видимо логин пароль и платежный пароль инъекцией. Дыры были удалены как было описано тут ранее, и поставлена защита от символов. Все ровно такие дела... еще нет шифрования паролей.rus56 написал(а):
Последнее редактирование:
Канстантин
Местный
- Сообщения
- 58
- Реакции
- 5
pligin
Участник
- Сообщения
- 3.654
- Реакции
- 1.336
Обнуляйте переменные.Канстантин написал(а):
Перед тем как произвести выплату достаньте из базы кошелек еще раз, а не передавайте значение со страницы оплаты.
Вы используете, 100%, форму без возможности редактирования, поэтому можно изменить значение через "Свойства элемента" или "Код элемента" в браузерах. И потом Вы это же значение посылаете на обработку!!! Зачем?
Перед кодом автоматической выплаты достаньте кошелек из базы и платите. Можно потом хоть х...й писать туда, а выплата пойдет только на один кошелек
pligin
Участник
- Сообщения
- 3.654
- Реакции
- 1.336
и про пароль....
скорее всего, у Вас проверяется пара кошелек-пароль. И чтобы вывести деньги с чужого аккаунта ему нужно знать только номер своего кошелька и свой пароль (из его аккаунта).
Доступ к аккаунту в игре получить не сложно (у меня есть сливы нескольких игр, а это около 6к аккаунтов), и во всех играх используют одни и те же пароли
скорее всего, у Вас проверяется пара кошелек-пароль. И чтобы вывести деньги с чужого аккаунта ему нужно знать только номер своего кошелька и свой пароль (из его аккаунта).
Доступ к аккаунту в игре получить не сложно (у меня есть сливы нескольких игр, а это около 6к аккаунтов), и во всех играх используют одни и те же пароли
Канстантин
Местный
- Сообщения
- 58
- Реакции
- 5
pligin
Участник
- Сообщения
- 3.654
- Реакции
- 1.336
remmodulek
Участник
- Сообщения
- 20
- Реакции
- 1
как закрыть дыру от просмотра кода элемента на странице выплат?Это то место где можно указать любой кошелёк для выплат!
Любой кошелёк для выплат 7и и 8и значный должен быть только 1 номер игрока и не какой другой.Может модуль есть какой чтобы какой попало кошелёк не вводить для выплат?
Вот пример взлома аккаунта-Берём покупаем базу взломаных мыл и паролей с других ферм-запускаем перебор паролей и логинов на сайтах ферм через спец проги
Игроки любят вводить простые и лёгкие ники для взлома и одни и те же пароли указывают на сайтах.
Так вот если хакер поимеет доступ то он свободно может вывести все средства.
И да Платёжный пароль 4 значный из цифр тут не в помощ Он легко взламывается перебором
1111 2222 3333 1234 4321 и так далее тоже спец прогами.
как поиметь базу юзеров это дописать ?menu=users
Как поиметь базу мыл дописать ?menu=payments
То что там защищено звёздочками *** это всё ерунда и можно даже догадаться что за мыло\и хорошо его потом заспамить своими проектами
И это ещё не всё что я знаю есть ещё темы взлома ферм простыми иньекциями с дырявых модулей!
О них могу рассказать в вип разделе под хайдом!
Любой кошелёк для выплат 7и и 8и значный должен быть только 1 номер игрока и не какой другой.Может модуль есть какой чтобы какой попало кошелёк не вводить для выплат?
Вот пример взлома аккаунта-Берём покупаем базу взломаных мыл и паролей с других ферм-запускаем перебор паролей и логинов на сайтах ферм через спец проги
Игроки любят вводить простые и лёгкие ники для взлома и одни и те же пароли указывают на сайтах.
Так вот если хакер поимеет доступ то он свободно может вывести все средства.
И да Платёжный пароль 4 значный из цифр тут не в помощ Он легко взламывается перебором
1111 2222 3333 1234 4321 и так далее тоже спец прогами.
как поиметь базу юзеров это дописать ?menu=users
Как поиметь базу мыл дописать ?menu=payments
То что там защищено звёздочками *** это всё ерунда и можно даже догадаться что за мыло\и хорошо его потом заспамить своими проектами
И это ещё не всё что я знаю есть ещё темы взлома ферм простыми иньекциями с дырявых модулей!
О них могу рассказать в вип разделе под хайдом!
Последнее редактирование:
pligin
Участник
- Сообщения
- 3.654
- Реакции
- 1.336
remmodulek
Участник
- Сообщения
- 20
- Реакции
- 1
так опасно это или нет и как исправить просмотр кода элемента и отправка из формы левого кошелька для выплат.
Ну вот в файле регистрации надо указать P******** он охранится в базе даных
А при выплате проверять введёный P******** с кошельком из БД P******** и если они совпали то делать выплату а если нет то отказ.
Ещё можно в файле настроек внутри аккаунта указать поле платёжные даные с P******** которые сохранятся в БД .
И всем советую поменять платёжный пароль с 4 знаков на 10 знаков так сложней сломать будет перебором.И ещё конечно же защитить ферму от переборов паролей спец скриптом и банить таких переборщиков по ипи...
Ну вот в файле регистрации надо указать P******** он охранится в базе даных
А при выплате проверять введёный P******** с кошельком из БД P******** и если они совпали то делать выплату а если нет то отказ.
Ещё можно в файле настроек внутри аккаунта указать поле платёжные даные с P******** которые сохранятся в БД .
И всем советую поменять платёжный пароль с 4 знаков на 10 знаков так сложней сломать будет перебором.И ещё конечно же защитить ферму от переборов паролей спец скриптом и банить таких переборщиков по ипи...
Последнее редактирование:
pligin
Участник
- Сообщения
- 3.654
- Реакции
- 1.336
pligin
Участник
- Сообщения
- 3.654
- Реакции
- 1.336
remmodulek
Участник
- Сообщения
- 20
- Реакции
- 1
В моей ферме вводиш любой кошелёк для выплат плат система Паер!Но я могу проверить ещё раз сделать с нового аккаунта выплаты на 2 разных кошелька.
Я к тому что если в ферму набрать 300 игроков то будут хакеры которые лёгкие пароли и ники по словарю бомбит будут-они поимеют доступ внутрь акаунта и сделают выплату на свой кошелёк и никакой защиты не сработает на ввод кошелька для выплат и ввод плат пароля не поможет.Платёжный пароль вообще взламывается простым скриптом выкладывать не буду.
Ещё 1 баг в моей ферме это обнулились выплаты через 1 день на странице myferma.ru/ ?menu=payments Была таблица выплат 4 выплаты теперь ничего!Буду искать причину обнуления статистики выплат.
Я к тому что если в ферму набрать 300 игроков то будут хакеры которые лёгкие пароли и ники по словарю бомбит будут-они поимеют доступ внутрь акаунта и сделают выплату на свой кошелёк и никакой защиты не сработает на ввод кошелька для выплат и ввод плат пароля не поможет.Платёжный пароль вообще взламывается простым скриптом выкладывать не буду.
Ещё 1 баг в моей ферме это обнулились выплаты через 1 день на странице myferma.ru/ ?menu=payments Была таблица выплат 4 выплаты теперь ничего!Буду искать причину обнуления статистики выплат.
Последнее редактирование: