Visu egold zaidimu bugas. Kaip isspresti?

Sveiki,

kas dar nezinote, per pastarasias pora dienu, per egold zaidimus prasiaube kazkoks asilas, kuris islave egoldo saskaitas. Nukentejau as, paulenas, zazas ir manau yra ir kitu. Pagal savo mysql history matau, jog jis kartu su ref linku, paduoda kintamajo $amount reiksme. Taciau tai neturetu buti imanoma logiskai mastant. Taigi visos babkes yra nusurbiamos per referral komisinius, jis zaidzia uz viena centa, o gauna 5$ referaliniu.

Visiems zaidimu savininkams, siulau laikinai isjungti referaliniu mokejimus, kad nenukentetumete.

O siaip ieskau rimtesniu zmoniu pagalbos, kurie galetu padeti issiaiskinti sita buga, ir budus kaip ji uztaisyti, nes bus labai daug auku :)

Visiems zaidimu savininkams, siulau laikinai isjungti referaliniu mokejimus, kad nenukentetumete.

o kaip tu išjungsi? tokio ref profit enable/disable nėra. į ref profit 0 procentų įršysi? taigi nieko neduos, tik 0 procentų mokės? o jei jis pakeičia procentus, tai kokia nauda?

Sveiki,

kas dar nezinote, per pastarasias pora dienu, per egold zaidimus prasiaube kazkoks asilas, kuris islave egoldo saskaitas. Nukentejau as, paulenas, zazas ir manau yra ir kitu. Pagal savo mysql history matau, jog jis kartu su ref linku, paduoda kintamajo $amount reiksme. Taciau tai neturetu buti imanoma logiskai mastant. Taigi visos babkes yra nusurbiamos per referral komisinius, jis zaidzia uz viena centa, o gauna 5$ referaliniu.

Visiems zaidimu savininkams, siulau laikinai isjungti referaliniu mokejimus, kad nenukentetumete.

 

O siaip ieskau rimtesniu zmoniu pagalbos, kurie galetu padeti issiaiskinti sita buga, ir budus kaip ji uztaisyti, nes bus labai daug auku :)

einu pastudijuot scripta. gal rasiu kame klaida :D

keista:

$amount = $_POST["PAYMENT_AMOUNT"];

perduoda ta egoldas neturetu but imanoma

register_globals išjunkit

gal tai visiskai neispres problemos bet:

$key = array_search($amount, $_cost);

if ($key === false) exit;

jei statoma suma nera $_cost masyve skriptas baigs darba.

Beja nukentejau ir as tik gerai kad mazai

Įdomu.

O tai gal hostas užlogina tikslias HTTP užklausas?

Reikia bandyti išpręsti.

Na paaiskejo kad egold nr, kuriuo buvo prasiaubta, buvo sitie:

From: Tomasv 2983321

From: Tomas 2890860

http://img122.imageshack.us/img122/5627/002io.jpg

Jie yra Sleeder'io. Bent jau vienas... Del kito nesirupinau nes abu yra to paties zmogaus (as taip manau).

As ne ozys, o tiesiog nemegstu tu, kurie vogia ish savu!

Aciu kad isklauset. :)

register_globals išjunkit

ne nu tai ką čia smulkintis php išjunkit ir ok bus :)

su tokiais debiliškais patarimais :D kiti scrip be register_globals neveiks.

gal tai visiskai neispres problemos bet:

 

$key = array_search($amount, $_cost);

if ($key === false) exit;

 

jei statoma suma nera $_cost masyve skriptas baigs darba.

 

Beja nukentejau ir as tik gerai kad mazai

o tiksliau kur jį įkišai į verify.php :D

Man tai krc ir paskutinius centus siurbia (šitas 3332868)... Apgailėtina! Po dešim centu nusiurbia nu čia jau tikrai apgailėtina, kada jis pasisotins? Eisiu ir aš žiūrėt ka ten daryt su tuo scriptu... nors php mažai išmanau, bet kažkaip mistikškai pastoviai ka nors išmastau :)

ne nu tai ką čia smulkintis php išjunkit ir ok bus :)

 

su tokiais debiliškais patarimais :D kiti scrip be register_globals neveiks.

O tu bent pats nujauti apie ką kalbi?

nevarom offtopick, bet aš naudoju script tam pačiam serve, kurie be register_globals neveikia.

Reiktų ieškoti sprendimo pridedant papildomus patikrinimus scripte, o ne servo nustymus keičiant.

jau tikriausiai radau sprendima, bet reik patikrint ar tikrai jis veiksmingas. Kai patikrinsiu ir jeigu lips butinai paaiškinsiu ka padaryti...

Edit: Ech... per anksti apsidžiaugiau

nevarom offtopick, bet aš naudoju script tam pačiam serve, kurie be register_globals neveikia.

 

Reiktų ieškoti sprendimo pridedant papildomus patikrinimus scripte, o ne servo nustymus keičiant.

Na turbūt nelaikai dviejų skriptų vienam foldery? Kur reikia išjungi register_globals, o kur reikia įjungi.

nevarom offtopick, bet aš naudoju script tam pačiam serve, kurie be register_globals neveikia.

 

Reiktų ieškoti sprendimo pridedant papildomus patikrinimus scripte, o ne servo nustymus keičiant.

as klausiau protingu zmoniu patarimo, o tu cia tik svaigsti....

kad nera enable/disable referal, tai nereiskia kad negalima jo isjungti. :) paprasciausiai reikia uzkomentuoti ta vieta, kurioje vykdomas referalu ismokejimas :D

EDIT: ka tik radau kad tas pats asilas vel bande nusiurbti mano pinigus, bet nieko nesigavo :D kaip gera ant sirdies kad jis liko kvailio vietoj :D

paprasciausiai reikia uzkomentuoti ta vieta, kurioje vykdomas referalu ismokejimas :)

ka ir kaip ten reik padaryt nes aš tai kaip minėjau nesu php žinovas :D

o tiksliau kur jį įkišai į verify.php :)

jo i verify.php is kart po to kai paimami duomenys is $_POST masyvo pvz. rasit vieta tikrai:

	$amount = $_POST["PAYMENT_AMOUNT"];
//apsauga
$key = array_search($amount, $_cost);
if ($key === false) exit;
//end of apsauga
$batch = $_POST["PAYMENT_BATCH_NUM"];

Sveiki,

kas dar nezinote, per pastarasias pora dienu, per egold zaidimus prasiaube kazkoks asilas, kuris islave egoldo saskaitas. Nukentejau as, paulenas, zazas ir manau yra ir kitu. Pagal savo mysql history matau, jog jis kartu su ref linku, paduoda kintamajo $amount reiksme. Taciau tai neturetu buti imanoma logiskai mastant. Taigi visos babkes yra nusurbiamos per referral komisinius, jis zaidzia uz viena centa, o gauna 5$ referaliniu.

Visiems zaidimu savininkams, siulau laikinai isjungti referaliniu mokejimus, kad nenukentetumete.

 

O siaip ieskau rimtesniu zmoniu pagalbos, kurie galetu padeti issiaiskinti sita buga, ir budus kaip ji uztaisyti, nes bus labai daug auku :)

su register_globals yra imanoma paduot reiksmes per linka. O kas nors turi nuoroda i ta vieta, kur aprasytas sitas bugas?

Tiesa - sprendimas manau labai paprastas (salyginai) - pakeisti kintamaji $amount i tarkim $amount_myname_123 ar kazka panasaus - na bukit su fantazija...

su register_globals yra imanoma paduot reiksmes per linka. O kas nors turi nuoroda i ta vieta, kur aprasytas sitas bugas?

 

Tiesa - sprendimas manau labai paprastas (salyginai) - pakeisti kintamaji $amount i tarkim $amount_myname_123 ar kazka panasaus - na bukit su fantazija...

Heh kaip tik norėjau ta patį parašyti apie $amount :) Nes tokia pati mintis man šovė į mano buka galva :D Pasikeičiau kintamaji $amount i kitokia alternatyva ir dabar viskas kuo puikiausiai veikia. nelimpa aplamai tas bugas... Dar dasidejau Vienishas apsaugėlia, tai kuo puikiausiai viskas :D

Edit: Ai ir vėl aš apsižioplinau. Buvau klaidele imaišes tai paymentu iš vis nedarė, o aš galvojau kad viskas tvarkoje puiku ir gražu, bet pasirodo jog ne... $amount pakeitimas nepadės... Tikriausiai pats didžiausias bugu bugas tai yra e-goldas...

//new version - RETURN BATCH NUMBER!!!

function _MakeSpend($from, $frompass, $to, $amount, $memo) {

$memo = str_replace(" ","%20",$memo);

$addr = "https://www.e-gold.com/acct/confirm.asp?AccountID=" . $from . "&PassPhrase=" . $frompass . "&Payee_Account=" . $to . "&Amount=". $amount ."&PAY_IN=1&WORTH_OF=Gold&Memo=". $memo . "&IGNORE_RATE_CHANGE=y&PAYMENT_ID=1";

$ch = curl_init($addr);

Nu žodžiu gal geriau aš daugiau nebesireikšiu šioje temoje ir nešnekėsiu pievų nes neiko neišmanau, taigi geriau einu aš miegot nes prisvaigsiu aš čia nesamonių...

Sugalvoti pakeisti variable pavadinima, tikrai nera ismanymas.

Del register_globals: jeigu sitas bus ijungtas, apie sauguma nesvajokit. Ypac kai naudojat publikuojamus scriptus.

Jeigu elgciaus kaip pinigu plovejes, tai ieskociau skyliu tokiuose scriptuose, ir parasyciau softa kuris pats ieskotu webu, kurie veikia ant tu scriptu, ir radus isplautu visus $$$ per skyles.

Geriausias budas apsisaugot, turet savo unikalu scripta, arba naudot tikrai saugius scriptus.

AS zinau kaip jis plauna bapkes is jusu zinau klaida jei kam reikia pm me susitarsim del kainos :)

Sugalvoti pakeisti variable pavadinima, tikrai nera ismanymas.

 

Del register_globals: jeigu sitas bus ijungtas, apie sauguma nesvajokit. Ypac kai naudojat publikuojamus scriptus.

 

Jeigu elgciaus kaip pinigu plovejes, tai ieskociau skyliu tokiuose scriptuose, ir parasyciau softa kuris pats ieskotu webu, kurie veikia ant tu scriptu, ir radus isplautu visus $$$ per skyles.

 

Geriausias budas apsisaugot, turet savo unikalu scripta, arba naudot tikrai saugius scriptus.

O jau naudot savo pasirasytus skriptus tai jau super ismanymas :) . Is turimos info, kokia ji buvo pateikta, mano sprendimas tiesmukiskiausias ir su turima info nematau kodel turetu nesuveikti. T.y. jeigu register_globals kazkam taip reikalingas ir turi buti naudojamas, tai padarai, kad bent tavo skriptas skirtusi nuo viesai publikuojamo. Lygiai tokie patys metodai yra naudojami katalogams, kuriuose laikomi rasymo teises turintys failai.

zazas - nezinau kaip tu keitai, taciau padarius griezta replace is "$amount" i "$amount_super_duper", skripto veikimas neturejo pasikeiti visiskai. Kazka manau praleidai

AS zinau kaip jis plauna bapkes is jusu zinau klaida jei kam reikia pm me susitarsim del kainos :D

Ha ha ha.... daugiau neturiu ka bepridurti

AS zinau kaip jis plauna bapkes is jusu zinau klaida jei kam reikia pm me susitarsim del kainos :)

gal tu geriau vyruti patylek... nes tavo patarimu tai jau nieks nepirks, tu net jauciu nezinai kaip "if" sakinys atrodo php kalboje. Tai ka tu gali patarti? Beje man atrodo, kad tu siulai ta buga kur galima pastatyti betkokia suma, bet ne kaip apsisaugoti nuo referaliniu pakeitimo.

Ne as siuliau as pirkau bet nenaudojau... iZap pardavine juos

<input type="hidden" name="PAYMENT_AMOUNT" value = "0.1" >

stai jusu bugas .... nustato i 0.01 ....

Ne as siuliau as pirkau bet nenaudojau... iZap pardavine juos

<input type="hidden" name="PAYMENT_AMOUNT" value = "0.1" >

stai jusu bugas .... nustato i 0.01 ....

tai zmogau pirma paskaityk apie ka mes snekam :) mes visai ne ta buga tyrinejam :D krc nesikisk kur nieko nesupranti.

beje wienisho "patche" : "if ($key === false) exit;" manau per daug vienu lygybes zenklu :D del to ir neveike zazui.

EDIT: Honda_CRX - patarciau issiimti Sign-profit baneri, nes greitai gausi bana.

nu cia aisku reikia paziuret tada skripta.. bet toks ispudis kad cia backdoor'sas tada, o ne bugas, jeigu is kliento priima tokius duomenis

tai zmogau pirma paskaityk apie ka mes snekam :) mes visai ne ta buga tyrinejam :D krc nesikisk kur nieko nesupranti.

 

beje wienisho "patche" : "if ($key === false) exit;" manau per daug vienu lygybes zenklu :D del to ir neveike zazui.

ne ne... === yra palyginimas su tipu sutikrinimu.