302 odpowiedzi w tym temacie

[Flk]

Tak w amxbans dodałem 2 kolumny. A baze sklepiku przerobiłem gdzieś w 70%

[bociek1994]

Potrafi ktoś zrobić obsłużenie wielu baz amxbans?

[bociek1994]

Banalny przykład ataku na SMS Shop 2.1 by G[o]Q poprzez SQL Injection.

 

Wystarczy podczas logowania podać takie dane

login - "' OR '1'='1' -- "
haslo - "dowolne"

jeśli na serwerze jest wyłączone magic_quotes to atak zadziała i zostaniesz zalogowany na pierwsze utworzone konto ( czyli zazwyczaj administratora )

 

Dla potwierdzenia kilka scrennów :

 

 

 

 

Gdzie jest błąd ?

login.php linijka

 echo "SELECT * FROM `konta` WHERE `login`='".$_POST['login']."' and `haslo`='".md5($_POST['pass'])."'"; 

klasyczny przykład braku filtracji otrzymywanych danych

 

Błąd znaleziony przez DarkGL!

[DarkGL]

zamiast kopiować możesz podać linka

 

http://darkgl.amxx.p...-2-02-1-by-goq/

[O'Zone]

Aż nie chce mi się wierzyć, że ten sklep nie został zabezpieczony przez chyba najprostszą metodą włamania

[Flk]

Ale tym to się popisaliście!! zamiast dodać poprawke dajecie takie informacje publicznie.

Brawooooooo....

 

 login.php   2 KB  72 Ilość pobrań
Mała poprawka

[juby503]

ma może ktoś skrypt do homepay jak tak proszę o podesłanie. Pozdrawiam 

[sebxx4]

Chodzi Ci o API ? Z tego co widzę homepay udostępnia API w mniej-więcej takiej formie:

 

http://homepay.pl/AP...ta&code=kod_sms

 

Jak dasz jakąś dokumentacje z tego homepay to Ci zrobie API.

[juby503]

witam ja wiem jaki api ma homepay tylko ze sie nie znam na php tylko html css i nie wiem jak skonfigurować skrypt z dotpay na homepay bo chyba  zmiana linku nie wystarczy... posiadam skrypt który sprawdza kod z homepay i to działa tylko ze ten skrypt nie jest skonfigurowany pod ten sklep. Pozdrawiam 

[sebxx4]

http://amxx.pl/topic...-project-sebxx/

 

 

Lookajcie ludziska

[PHP <3]

Mogłeś się sebxx powstrzymać, skoro to Twoje nie powstało. Po za tym temat traktuje o shopie GOQ a nie o Twoim.

[PHP <3]

witam ja wiem jaki api ma homepay tylko ze sie nie znam na php tylko html css i nie wiem jak skonfigurować skrypt z dotpay na homepay bo chyba  zmiana linku nie wystarczy... posiadam skrypt który sprawdza kod z homepay i to działa tylko ze ten skrypt nie jest skonfigurowany pod ten sklep. Pozdrawiam 

Nie mam konta w homepay, więc jeżeli masz kody testowe podeślij mi kilka a zrobię Ci api

Po za tym, jutro wstawię zabezpieczoną wersję skryptu.

[M4RV1N]

Hyhyhyhy  ----> http://darkgl.amxx.p...-2-02-1-by-goq/

Użytkownik MarViner edytował ten post 27.07.2013 20:33

[PHP <3]

Marviner - 10 postów wyżej ten sam link

[Fail]

Odkryliscie ameryke, takie metody stosowało się 10 lat temu i jak jakaś strona nie ma wlaczonego magic quotes + zabezpieczonych odpowiednio zapytań do bazy to w dzisiejszych czasach rzadkość, nawet w przypadku braku zabezpieczenia przed sql injection to pozostaje opcja uruchomionych magic quotes gdzie jest wlaczone na wiekszosci hostingach np. (xaa) i nie trzeba sie nawet orientowac w stronie zeby nawet przez nie uwage miec cos takiego zabezpieczonego. A juz znalezc hosting tak jak to znalazl darkgl z sms shopem by goq i z wylaczonym magic quotes to naprawdę rzadkosc - ale autor sklepu sie popisał znajomością php.

DarkGL w moich oczach nie zabłysnełeś - nic nowego nie odkryłeś..

Użytkownik Fail edytował ten post 01.08.2013 15:58

[DarkGL]

magic quotes - http://php.net/manua...magicquotes.php - This feature has been DEPRECATED as of PHP 5.3.0 and REMOVED as of PHP 5.4.0.

 

Takie błędy należy wytykać

1. Troche ososób używa tego sklepiku niech wiedzą na czym stoją

2. Kolejne osoby tworzące takie rzeczy bedą wiedzieć na co uważać

 

W moich oczach nie zabłysnałes taką wypowiedzią

[ZiomMaster]

Witam jeśli można spytać nie mogę nic dodać do Menu ;< Może nie umiem ;<

Pomoże ktoś?

[TraFFa]

Kiedy wybieram w panelu sklepu server pokazuje się taki błąd lokalizacje sql dodałęm do pliku 

 

Warning: Unexpected character in input: '\' (ASCII=92) state=1 in C:\Program Files (x86)\WebServ\httpd\sklepik2\configs\amx_bans.php on line 10

Parse error: parse error, unexpected $end in C:\Program Files (x86)\WebServ\httpd\sklepik2\configs\amx_bans.php on line 33

[OLI]

Powiem jedno nie radze nikomu instalowac tego sklepiku kto się nie zna na zrobieniu filtracji logowania w tym sklepie.

Mówi Head Admin apokalipsy-cs... dobra darmówka ale z bugami. Możecie sobie wejśc na bloga DarkGL i sprawdzic.

 

Tak wygląda poprawiona wersja http://apokalipsa-cs.eu/sklep/ 

 

Przepraszam za spam.

 

 

Użytkownik OLI edytował ten post 21.11.2013 16:03

[TraFFa]

Spoko dzięki za info