Witamy w Nieoficjalnym polskim support'cie AMX Mod X
Witamy w Nieoficjalnym polskim support'cie AMX Mod X, jak w większości społeczności internetowych musisz się zarejestrować aby móc odpowiadać lub zakładać nowe tematy, ale nie bój się to jest prosty proces w którym wymagamy minimalnych informacji.
|
Boziak
Rejestracja: 20.04.2016Aktualnie: Nieaktywny
Poza forum Ostatnio: 12.06.2021 01:01
Statystyki
- Grupa: Użytkownik
- Całość postów: 17
- Odwiedzin: 3 113
- Tytuł: Początkujący
- Wiek: Wiek nie został ustalony
- Urodziny: Data urodzin nie została podana
-
Imię
b
-
Płeć
Mężczyzna
Kontakt
Narzędzia użytkownika
Znajomi
Boziak nie posiada znajomych
Ostatnio byli
#727729 Prośba O Paczkę
Napisane przez Boziak w 28.06.2016 12:18
#727264 [CS 1.6 GO MOD] Idealna modyfikacja czy wielka ściema?
Napisane przez Boziak w 15.06.2016 09:03
#727236 [CS 1.6 GO MOD] Idealna modyfikacja czy wielka ściema?
Napisane przez Boziak w 14.06.2016 08:49
#726970 [CS 1.6 GO MOD] Idealna modyfikacja czy wielka ściema?
Napisane przez Boziak w 05.06.2016 21:39
RCON-Kiedyś nie miałem połączonego sklepu za pomocą socketów tylko RCON'a dlatego był potrzebny
AmxBans-Tak był w mojej bazie, bo po wykupieniu usługi leciał socket by bywykonać polecenie dodające usługe na waszym serwie
Jaszczurek co ty pieprzysz za przeproszeniem? Masz licencje na sieć która jest bez opłat więc o jakich 10zł ty mówisz? Żadna licencja na sieć nie miała dodatkowych opłat.
Boziak to może jak zobaczycie błąd to napiszcie mi i może nawet jak go naprawić, a nie pisać na forum "Patrzcie on ma tu błąd!!!".
DarkGL na prawdę weszli ale tak jak mówiłem po prostu pecha miałem, że wtedy edytowałem system logowania i nie miał wtedy nic zabezpieczającego w sobie żadnych specjalnych funkcji.
GeDox czytałeś to? czy po prostu tak odpisałeś trochę już nie na temat
Widzicie błąd możecie przecież powiedzieć, a nie wykorzystywać
Widzisz. Jestem dość specyficznym człowiekiem, badam zachowania i zamiary. Stąd też zanim cokolwiek zobaczyło światło dzienne prowadziłem z Tobą rozmowę udając klienta, niestety tego egzaminu nie udało Ci się zdać i na dziś dzień tak wygląda sytuacja.
Jeśli chodzi o inject powiedz... Zdajesz sobie sprawę że taka podatność nie występuje nawet w darmowych skryptach logowania? No chyba że użyłeś czegoś z 2006 roku.
Stąd można wystawiać opinie o jak widać znikomej ilości wiedzy którą posiadasz, niestety wygląda to na tak zwane lepienie kodu niż faktyczne programowanie.
Twój gomod używa takie same natywy jak silnik napisany przez użytkownika Oen. z tego forum. (Nie tylko nazwy się zgadzają)
Konstrukcja bazy danych również jest bardzo podobna.
Wybranie Sql jako systemu do sprawdzania licencji przy używaniu haseł dostępnych w słownikach...
Nie ważne jakbyś to zabezpieczył w samym kodzie... Słabe hasło Cię gubi!
Połączenie z mysql bez SSL...
SHA1( password ) XOR SHA1( salt <concat> SHA1( SHA1( password ) ) )
Nazwa użytkownika bazy oraz sól jest jawne. Sól dajesz w SHA-1 i mielisz tym hash hasła... Przy Twoich hasłach nawet słaby sprzęt poradził by sobie w okolicy 30 minut.
Co za tym idzie kolejny wyciek danych.
Usiądź, pomyśl... Odpuść. Nie staraj się na siłę zarobić przy takim braku kompetencji.
#726925 [CS 1.6 GO MOD] Idealna modyfikacja czy wielka ściema?
Napisane przez Boziak w 05.06.2016 04:01
Amxbans... Pisałem na innym forum, mogłeś pobrać i użyć lokalnie bez serwerów trzecich.
Dostęp do serwerów jako admin jest nadal możliwy. Wystarczy odpowiednie _pw i nie myśl że ukrywanie za pomocą zmiennych pomoże Ci przy mojej osobie. ASM jest moim światem
Zjadł Cię takim injectem i znów hasło... Idealnie do Ciebie pasujące.
Z innej beczki źle to odbierasz nikt się na Ciebie nie uparł... Za jakąś tam zniżkę o O której wspomniałeś. Odbierz to jako wyzwanie i udowodnij że jesteś tą osobą ob której możemy przeczytać na Twojej stronie.
Bezpieczeństwo danych, podstawa! Szczególnie jeśli chodzi o dane Twoich klientów.
#725171 [CS 1.6 GO MOD] Idealna modyfikacja czy wielka ściema?
Napisane przez Boziak w 21.04.2016 00:16
Witajcie.
Dziś przybyłem zaprezentować Wam poczynania niezbyt uczciwych programistów, którzy celują chyba za wysoko.
Od paru dni przyglądałem się dość mocno rosnącego w siłe GO MODA dla starego poczciwego 1.6, moja ciekawość zaprowadziła mnie aż do rozłożenia tego pluginu na czynniki pierwsze ( ot co czysta ciekawość ).
To co znalazłem przerosło moje oczekiwania!
Na wstępie informuję iż starałem się skontaktować z większością sieci które posiadały tą modyfikację, z lepszym bądź gorszym skutkiem.
Po analizie pluginu oraz jego zachowań udało się ustalić iż spora cześć danych leci zewnętrzne bazy mysql. Pierwsza myśl, oczywiście weryfikacja licencji i tym podobne sprawy... lecz sama baza pokazała dużo ciekawszą porcję informacji niż by się mogło spodziewać.
Po co plugin zapisuje RCON na jakieś obcej bazie danych?
Lepszym pytaniem będzie dlaczego dane amxbans również zostały wysłane do prywatny host?
(Sam autor tłumaczył się wykorzystaniem tych danych do zapisu / edycji wpisów * Informacje od jednego z właścicieli sieci które kupiły tą modyfikację) Dokładnie wszyscy wiemy iż te dane nie musiały zostać nigdzie wysłane po za linie komunikacji HLDS -> AMXBANS... mogły zostać pobrane lokalnie i wykorzystane również bez ingerencji innych baz... (Nikt chyba nie powie że tak powinno być, połączenie zdalne nie jest "optymalne" jak to lubimy mówić szczególnie jak z tą bazą łączyło się blisko 60 serwerów)
Drugie dlaczego autor pluginu nie raczył informować kupujących jego plugin (min. 75 PLN) że jego bazna amxbans będzie wykorzystywana? W regulaminie dostępnym na stronie moda również nie było takich informacji!
Po co plugin wysyłał informacje ile zarobił poszczególny serwer?
Zrobiło się nam bardzo dużo niewiadomych... Postanowiłem porozmawiać z autorem pluginu, grając klienta chętnego do zakupu (Blisko 250PLN) modyfikacji.
Tak wyglądała rozmowa:
Ostatni zrzut sobie odpuszczę, gdyż nie mam ochoty podawać jego danych personalnych.
Też zapomniał wspomnieć że jednak jakieś ważniejsze dane uciekają bokiem.
Teraz przejdźmy do przyjemniejszych spraw, czyli strony technicznej
Interesujące nas linie w pliku załączonym poniżej
Linie od 4942 do 4960
str_033 string "amx_sql_host"
str_034 string "amx_sql_user"
str_035 string "amx_sql_pass"
str_036 string "amx_sql_db"
str_037 string "rcon_password"
str_038 string "193.17.184.51"
str_039 string "cszarogi_inf1"
str_040 string "tajnehaselko"
str_041 string "cszarogi_inf1"
str_042 string "SELECT * FROM %s WHERE `IP` = '%s'"
str_043 string "serwery_info"
str_044 string "Handle_Test1"
str_045 string "INSERT INTO `%s` (`IP`) VALUES ('%s');"
str_046 string "serwery_info"
str_047 string "Handle_Test2"
str_048 string "UPDATE `%s` SET "
str_049 string "serwery_info"
Linie od 5084 do 5107
str_167 string "csgomods_lic2"
str_168 string "nieznamhasla1"
str_169 string "csgomods_lic1"
str_170 string "193.17.184.51"
str_171 string "cszarogi_lic2"
str_172 string "nieznamhasla1"
str_173 string "cszarogi_lic1"
str_174 string "91.237.52.174"
str_175 string "fullcspl_lic2"
str_176 string "nieznamhasla1"
str_177 string "fullcspl_lic1"
str_178 string "193.17.184.153"
str_179 string "csgomods_hgracz"
str_180 string "qlasS7DD"
str_181 string "csgomods_hostplay"
str_182 string "193.17.184.51"
str_183 string "cszarogi_hgracz"
str_184 string "qlasS7DD"
str_185 string "cszarogi_hostplay"
str_186 string "91.237.52.174"
str_187 string "fullcspl_hgracz"
str_188 string "qlasS7DD"
str_189 string "fullcspl_hostplay"
Dalej również widać dość ciekawostek lecz to pozostawiam Wam.
Kończąc ten temat chciałbym napisać iż rozumiem zarabianie na pluginach mimo iż sama licencja AMXX mówi inaczej. Jest to czas poświęcony, wytężenie dla umysłu! Lecz gdy ktoś wyciąga łapy za daleko ktoś musi strzelić z linijki!
Dość ciekawy zwrot od autora pluginu:
Czy to oznacza że nie ma już osób które potrafią się cieszyć z tego co tworzą? Czy każdy zamknięty plugin powinien być analizowany jak virus?
No i czas na obiecane prezenty:
csgo.amxx > csgo.asm
http://www53.zippysh...mIYuG/file.html
Zrzut baz danych
<Ciach!> ze względów bezpieczeństwa zrzut został usunięty
-------------------
Do administracji amxx.pl - Jeśli pomyliłem dział proszę mi wybaczyć.
- AMXX.pl: Support AMX Mod X i SourceMod
- → Przeglądanie profilu: Reputacja: Boziak
- Regulamin