Boziak

Ile płacisz

 

 

 

 

 

@Edit:

Po rozmowie z Krwiopijcą udostępnił mi główny plik csgo.amxx oraz rangi.amxx z "wczorajszego update"

Po wstępnej analizie nie wykazują one podejrzanych działań.

 

Lecz nie zmienia to faktu iż zaprezentowane zrzuty były z paczki aktualizacyjnej po zamknięciu strony.

 

Taka mała refleksja dla Ciebie...
https://youtu.be/qmajJ9X8SMs

RCON-Kiedyś nie miałem połączonego sklepu za pomocą socketów tylko RCON'a dlatego był potrzebny
AmxBans-Tak był w mojej bazie, bo po wykupieniu usługi leciał socket by bywykonać polecenie dodające usługe na waszym serwie

Jaszczurek co ty pieprzysz za przeproszeniem? Masz licencje na sieć która jest bez opłat więc o jakich 10zł ty mówisz? Żadna licencja na sieć nie miała dodatkowych opłat.

Boziak to może jak zobaczycie błąd to napiszcie mi i może nawet jak go naprawić, a nie pisać na forum "Patrzcie on ma tu błąd!!!".

DarkGL na prawdę weszli ale tak jak mówiłem po prostu pecha miałem, że wtedy edytowałem system logowania i nie miał wtedy nic zabezpieczającego w sobie żadnych specjalnych funkcji.

GeDox czytałeś to? czy po prostu tak odpisałeś trochę już nie na temat



Widzicie błąd możecie przecież powiedzieć, a nie wykorzystywać

Widzisz. Jestem dość specyficznym człowiekiem, badam zachowania i zamiary. Stąd też zanim cokolwiek zobaczyło światło dzienne prowadziłem z Tobą rozmowę udając klienta, niestety tego egzaminu nie udało Ci się zdać i na dziś dzień tak wygląda sytuacja.

Jeśli chodzi o inject powiedz... Zdajesz sobie sprawę że taka podatność nie występuje nawet w darmowych skryptach logowania? No chyba że użyłeś czegoś z 2006 roku.
Stąd można wystawiać opinie o jak widać znikomej ilości wiedzy którą posiadasz, niestety wygląda to na tak zwane lepienie kodu niż faktyczne programowanie.

Twój gomod używa takie same natywy jak silnik napisany przez użytkownika Oen. z tego forum. (Nie tylko nazwy się zgadzają)
Konstrukcja bazy danych również jest bardzo podobna.

Wybranie Sql jako systemu do sprawdzania licencji przy używaniu haseł dostępnych w słownikach...
Nie ważne jakbyś to zabezpieczył w samym kodzie... Słabe hasło Cię gubi!

Połączenie z mysql bez SSL...

SHA1( password ) XOR SHA1( salt <concat> SHA1( SHA1( password ) ) )

Nazwa użytkownika bazy oraz sól jest jawne. Sól dajesz w SHA-1 i mielisz tym hash hasła... Przy Twoich hasłach nawet słaby sprzęt poradził by sobie w okolicy 30 minut.
Co za tym idzie kolejny wyciek danych.

Usiądź, pomyśl... Odpuść. Nie staraj się na siłę zarobić przy takim braku kompetencji.

Krwiopijco czy to nie dziwne że zawsze coś robisz?
Amxbans... Pisałem na innym forum, mogłeś pobrać i użyć lokalnie bez serwerów trzecich.

Dostęp do serwerów jako admin jest nadal możliwy. Wystarczy odpowiednie _pw i nie myśl że ukrywanie za pomocą zmiennych pomoże Ci przy mojej osobie. ASM jest moim światem

Zjadł Cię takim injectem i znów hasło... Idealnie do Ciebie pasujące.


Z innej beczki źle to odbierasz nikt się na Ciebie nie uparł... Za jakąś tam zniżkę o O której wspomniałeś. Odbierz to jako wyzwanie i udowodnij że jesteś tą osobą ob której możemy przeczytać na Twojej stronie.
Bezpieczeństwo danych, podstawa! Szczególnie jeśli chodzi o dane Twoich klientów.

Witajcie.
 
Dziś przybyłem zaprezentować Wam poczynania niezbyt uczciwych programistów, którzy celują chyba za wysoko.
 
Od paru dni przyglądałem się dość mocno rosnącego w siłe GO MODA dla starego poczciwego 1.6, moja ciekawość zaprowadziła mnie aż do rozłożenia tego pluginu na czynniki pierwsze ( ot co czysta ciekawość ).
 
To co znalazłem przerosło moje oczekiwania!
 

 
 
Na wstępie informuję iż starałem się skontaktować z większością sieci które posiadały tą modyfikację, z lepszym bądź gorszym skutkiem.
 
 
Po analizie pluginu oraz jego zachowań udało się ustalić iż spora cześć danych leci zewnętrzne bazy mysql. Pierwsza myśl, oczywiście weryfikacja licencji i tym podobne sprawy... lecz sama baza pokazała dużo ciekawszą porcję informacji niż by się mogło spodziewać.
 

 
Po co plugin zapisuje RCON na jakieś obcej bazie danych? 
Lepszym pytaniem będzie dlaczego dane amxbans również zostały wysłane do prywatny host?
 
(Sam autor tłumaczył się wykorzystaniem tych danych do zapisu / edycji wpisów * Informacje od jednego z właścicieli sieci które kupiły tą modyfikację) Dokładnie wszyscy wiemy iż te dane nie musiały zostać nigdzie wysłane po za linie komunikacji HLDS -> AMXBANS... mogły zostać pobrane lokalnie i wykorzystane również bez ingerencji innych baz... (Nikt chyba nie powie że tak powinno być, połączenie zdalne nie jest "optymalne" jak to lubimy mówić szczególnie jak z tą bazą łączyło się blisko 60 serwerów)
 
Drugie dlaczego autor pluginu nie raczył informować kupujących jego plugin (min. 75 PLN) że jego bazna amxbans będzie wykorzystywana? W regulaminie dostępnym na stronie moda również nie było takich informacji!
 
 
Po co plugin wysyłał informacje ile zarobił poszczególny serwer?
 
Zrobiło się nam bardzo dużo niewiadomych... Postanowiłem porozmawiać z autorem pluginu, grając klienta chętnego do zakupu (Blisko 250PLN) modyfikacji.
 
Tak wyglądała rozmowa:

Też zapomniał wspomnieć że jednak jakieś ważniejsze dane uciekają bokiem.


Teraz przejdźmy do przyjemniejszych spraw, czyli strony technicznej

Interesujące nas linie w pliku załączonym poniżej
 
Linie od 4942 do 4960
   

 
 
Linie od 5084 do 5107

 
 
Dalej również widać dość ciekawostek lecz to pozostawiam Wam.
 
Kończąc ten temat chciałbym napisać iż rozumiem zarabianie na pluginach mimo iż sama licencja AMXX mówi inaczej. Jest to czas poświęcony, wytężenie dla umysłu! Lecz gdy ktoś wyciąga łapy za daleko ktoś musi strzelić z linijki!
 
Dość ciekawy zwrot od autora pluginu:

 
Czy to oznacza że nie ma już osób które potrafią się cieszyć z tego co tworzą? Czy każdy zamknięty plugin powinien być analizowany jak virus? 
 
 
 
No i czas na obiecane prezenty:
 
csgo.amxx > csgo.asm
http://www53.zippysh...mIYuG/file.html
 
Zrzut baz danych
<Ciach!> ze względów bezpieczeństwa zrzut został usunięty




-------------------
Do administracji amxx.pl - Jeśli pomyliłem dział proszę mi wybaczyć.