Дыры на сайтах

rus56 · 8 Дек 2015

voodooas написал(а):
rus56 - в md5 шифруете - например md5($pass.$login.$mail) либо md5("blablabla".$pass)
при проверке на входе делаете то же самое.
if(md5("blablabla".$POST['pass'])==$data['pass']) проходим дальше.
Так получается довольно таки уникальный хеш набора символов.
Все в набросках.

Что то знакомое! посмотри - может задумку легче будет переделать.

https://servahoc.ru/threads/zaschita-parolej-v-md5-v-baze-dannyx-dlja-ff.1436/#post-23885

APTEMOH · 8 Дек 2015

rus56 написал(а):
Что то знакомое! посмотри - может задумку легче будет переделать.

https://servahoc.ru/threads/zaschita-parolej-v-md5-v-baze-dannyx-dlja-ff.1436/#post-23885

Или https://servahoc.ru/threads/xranenie-parolej-v-md5.2652/

voodooas · 8 Дек 2015

Не понятно только почему все используют функцию
strtolower
Ведь она приводит текст к маленьким буквам и потому NnNnN = nnnnn = NNNnn = уменьшение уникальности логина/пароля.
Каждый для себя может придумать варианты шифрования, например такой - md5(md5($pass)) - двойной хеш. И уже не узнать на какой ферме как зашифрован пасс.

AriCosmo · 8 Дек 2015

APTEMOH написал(а):
Ты шифруешь хеш несколько раз? Или у тебя соль 500 символов?

P.S. Кстати есть такой алгоритм в PHP

нет, у меня на много лучше, скажу только, что есть алгоритм)

voodooas · 8 Дек 2015

MCRYPT или Anubis?
Лично я пользуюсь md5("blablabla".$pass) и мне этого достаточно.

AriCosmo · 8 Дек 2015

voodooas написал(а):
MCRYPT или Anubis?
Лично я пользуюсь md5("blablabla".$pass) и мне этого достаточно.

У меня личный алгоритм, я когда начинал с md5+$sol(random)

Канстантин · 15 Дек 2015

Подскажите, взламывают ферму. Кошелек после первого ввода не изменить, платежный пароль тоже. Взламывают таким образом, что выплаты просто начинают идти на другой кошелек и он указывается в выплатах, то есть старый кошелек несколько выплат потом идет новый пока его не удалишь, через бд. После этого в поле кошелек для вывода возвращается старый кошелек. Где дыра и как ее найти?

rus56 · 16 Дек 2015

Канстантин написал(а):
Подскажите, взламывают ферму. Кошелек после первого ввода не изменить, платежный пароль тоже. Взламывают таким образом, что выплаты просто начинают идти на другой кошелек и он указывается в выплатах, то есть старый кошелек несколько выплат потом идет новый пока его не удалишь, через бд. После этого в поле кошелек для вывода возвращается старый кошелек. Где дыра и как ее найти?

Это управление уже через админкку! В личку кинь ссылку на проект! Посмотрю!

Канстантин · 16 Дек 2015

rus56 написал(а):
Это управление уже через админкку! В личку кинь ссылку на проект! Посмотрю!

Нет там управления через админку, в админке нет функции смены кошелька и просмотра плат пароля. Базу данных тоже не взломал, так как тогда бы все вывел, просто происходит добавления нового кошелька и узнает видимо логин пароль и платежный пароль инъекцией. Дыры были удалены как было описано тут ранее, и поставлена защита от символов. Все ровно такие дела... еще нет шифрования паролей.

Канстантин · 16 Дек 2015

Канстантин написал(а):
Нет там управления через админку, в админке нет функций смены кошелька и пароля также просмотра плат пароля. Базу данных тоже не взломал, так как тогда бы все вывел, просто происходит добавления нового кошелька и узнает видимо логин пароль и платежный пароль инъекцией. Дыры были удалены как было описано тут ранее, и поставлена защита от символов. Все ровно такие дела...

pligin · 21 Дек 2015

Канстантин написал(а):
Подскажите, взламывают ферму. Кошелек после первого ввода не изменить, платежный пароль тоже. Взламывают таким образом, что выплаты просто начинают идти на другой кошелек и он указывается в выплатах, то есть старый кошелек несколько выплат потом идет новый пока его не удалишь, через бд. После этого в поле кошелек для вывода возвращается старый кошелек. Где дыра и как ее найти?

Обнуляйте переменные.
Перед тем как произвести выплату достаньте из базы кошелек еще раз, а не передавайте значение со страницы оплаты.
Вы используете, 100%, форму без возможности редактирования, поэтому можно изменить значение через "Свойства элемента" или "Код элемента" в браузерах. И потом Вы это же значение посылаете на обработку!!! Зачем?
Перед кодом автоматической выплаты достаньте кошелек из базы и платите. Можно потом хоть х...й писать туда, а выплата пойдет только на один кошелек

pligin · 21 Дек 2015

и про пароль....
скорее всего, у Вас проверяется пара кошелек-пароль. И чтобы вывести деньги с чужого аккаунта ему нужно знать только номер своего кошелька и свой пароль (из его аккаунта).
Доступ к аккаунту в игре получить не сложно (у меня есть сливы нескольких игр, а это около 6к аккаунтов), и во всех играх используют одни и те же пароли

Канстантин · 23 Дек 2015

pligin написал(а):
Обнуляйте переменные.
Перед тем как произвести выплату достаньте из базы кошелек еще раз, а не передавайте значение со страницы оплаты.
Вы используете, 100%, форму без возможности редактирования, поэтому можно изменить значение через "Свойства элемента" или "Код элемента" в браузерах. И потом Вы это же значение посылаете на обработку!!! Зачем?
Перед кодом автоматической выплаты достаньте кошелек из базы и платите. Можно потом хоть х...й писать туда, а выплата пойдет только на один кошелек

Очень интересно, а можете подсказать как это реализовать на коде, есть ли рабочий пеймент с этой реализацией?

pligin · 23 Дек 2015

Канстантин написал(а):
Очень интересно, а можете подсказать как это реализовать на коде, есть ли рабочий пеймент с этой реализацией?

Могу вечером реализовать. Кидайте свой скрипт

remmodulek · 23 Дек 2015

как закрыть дыру от просмотра кода элемента на странице выплат?Это то место где можно указать любой кошелёк для выплат!
Любой кошелёк для выплат 7и и 8и значный должен быть только 1 номер игрока и не какой другой.Может модуль есть какой чтобы какой попало кошелёк не вводить для выплат?

Вот пример взлома аккаунта-Берём покупаем базу взломаных мыл и паролей с других ферм-запускаем перебор паролей и логинов на сайтах ферм через спец проги
Игроки любят вводить простые и лёгкие ники для взлома и одни и те же пароли указывают на сайтах.
Так вот если хакер поимеет доступ то он свободно может вывести все средства.
И да Платёжный пароль 4 значный из цифр тут не в помощ Он легко взламывается перебором
1111 2222 3333 1234 4321 и так далее тоже спец прогами.
как поиметь базу юзеров это дописать ?menu=users
Как поиметь базу мыл дописать ?menu=payments
То что там защищено звёздочками *** это всё ерунда и можно даже догадаться что за мыло\и хорошо его потом заспамить своими проектами
И это ещё не всё что я знаю есть ещё темы взлома ферм простыми иньекциями с дырявых модулей!
О них могу рассказать в вип разделе под хайдом!

pligin · 23 Дек 2015

remmodulek написал(а):
как закрыть дыру от просмотра кода элемента на странице выплат?

Это не дыра. Это Обычная возможность браузеров показывать код, который отображает в виде страниц.
А проблемы с этим только от «кривых» рук.

remmodulek · 23 Дек 2015

так опасно это или нет и как исправить просмотр кода элемента и отправка из формы левого кошелька для выплат.
Ну вот в файле регистрации надо указать P******** он охранится в базе даных
А при выплате проверять введёный P******** с кошельком из БД P******** и если они совпали то делать выплату а если нет то отказ.
Ещё можно в файле настроек внутри аккаунта указать поле платёжные даные с P******** которые сохранятся в БД .
И всем советую поменять платёжный пароль с 4 знаков на 10 знаков так сложней сломать будет перебором.И ещё конечно же защитить ферму от переборов паролей спец скриптом и банить таких переборщиков по ипи...

pligin · 23 Дек 2015

remmodulek написал(а):
так опасно это или нет и как исправить просмотр кода элемента и отправка из формы левого кошелька для выплат.

Те значения переменных, которые отображаются и отправляются на исполнения, должны обнуляться и извлекаться из базы в момент выполнения операции (оплаты).
Передавать «опасные» значения методами GET и POST не нужно

pligin · 23 Дек 2015

remmodulek написал(а):
так опасно это или нет и как исправить просмотр кода элемента и отправка из формы левого кошелька для выплат.
Ну вот в файле регистрации надо указать P******** он охранится в базе даных
А при выплате проверять введёный P******** с кошельком из БД P******** и если они совпали то делать выплату а если нет то отказ.
Ещё можно в файле настроек внутри аккаунта указать поле платёжные даные с P******** которые сохранятся в БД .
И всем советую поменять платёжный пароль с 4 знаков на 10 знаков так сложней сломать будет перебором.И ещё конечно же защитить ферму от переборов паролей спец скриптом и банить таких переборщиков по ипи...

Зачем столько проверок? И зачем передавать номер кошелька из формы, если он уже введен и не подлежит изменению?

remmodulek · 23 Дек 2015

В моей ферме вводиш любой кошелёк для выплат плат система Паер!Но я могу проверить ещё раз сделать с нового аккаунта выплаты на 2 разных кошелька.
Я к тому что если в ферму набрать 300 игроков то будут хакеры которые лёгкие пароли и ники по словарю бомбит будут-они поимеют доступ внутрь акаунта и сделают выплату на свой кошелёк и никакой защиты не сработает на ввод кошелька для выплат и ввод плат пароля не поможет.Платёжный пароль вообще взламывается простым скриптом выкладывать не буду.
Ещё 1 баг в моей ферме это обнулились выплаты через 1 день на странице myferma.ru/ ?menu=payments Была таблица выплат 4 выплаты теперь ничего!Буду искать причину обнуления статистики выплат.