Дыра в скрипте

[Joha]

Помогите пожалуйста
У меня на сайте ктото заходит через мой админский аккаунт а у меня там были монеты на выход вывод и какой-то левый забрал деньги на свой кошелек, через БД привязал  свой кошелек но всё равно как-то поменяли номер кошелька,а там после 1 выплаты изменить пеер кошелька невозможно помогите пожалуйста

[shans5]

На 100 % уверен,что деньги вывели именно с аккаунта?

[Joha]

На 100 % уверен,что деньги вывели именно с аккаунта?

Да

[shans5]

Скриншот дай с выплатой....

Без обид, но уже было такое...
Человек утверждал тоже, в итоге все было совсем по другому

[Joha]

Скриншот дай с выплатой....

Без обид, но уже было такое...
Человек утверждал тоже, в итоге все было совсем по другому

http://prntscr.com/eqfkqg
http://prntscr.com/eqflb1
До этого ещё по 30-40р выводил вчера

[Shop-53]

срочно топ снеси там дира я проверил и скрипт проверь моглы шел загрузить

[shans5]

Да не надо топ сносить....
Просто подредактировать...

Короче меня ты не убедил...
Не вижу выплат за вчерашний день на этот же кошелек
Сильно сомневаюсь что деньги выводят через твой аккаунт, тем более если есть привязка кошелька....

Номер кошелька записывается в базу...
Поменять его можно только тому, у кого есть доступ....


Если деньги выводят,значит есть наличие дыр...
Одну уже выше сказали...
Так же нужно проверить наличие лишних файлов (на всякий случай)

[Shop-53]

админ совершенно верно я согласен з тобой но на счет привязкы нет кошель можно сменить да она записовает в базу но сменить можно

[Joha]

Да не надо топ сносить....
Просто подредактировать...

Короче меня ты не убедил...
Не вижу выплат за вчерашний день на этот же кошелек
Сильно сомневаюсь что деньги выводят через твой аккаунт, тем более если есть привязка кошелька....

Номер кошелька записывается в базу...
Поменять его можно только тому, у кого есть доступ....


Если деньги выводят,значит есть наличие дыр...
Одну уже выше сказали...
Так же нужно проверить наличие лишних файлов (на всякий случай)

http://prntscr.com/eqfwqq

[shans5]

админ совершенно верно я согласен з тобой но на счет привязкы нет кошель можно сменить да она записовает в базу но сменить можно

Нет, поменять кошелек нельзя....

[Joha]

Да не надо топ сносить....
Просто подредактировать...

Короче меня ты не убедил...
Не вижу выплат за вчерашний день на этот же кошелек
Сильно сомневаюсь что деньги выводят через твой аккаунт, тем более если есть привязка кошелька....

Номер кошелька записывается в базу...
Поменять его можно только тому, у кого есть доступ....


Если деньги выводят,значит есть наличие дыр...
Одну уже выше сказали...
Так же нужно проверить наличие лишних файлов (на всякий случай)

Выплата действительно было , если б не была , зачем мне обращаться

[Shop-53]

я могу доказать что кошель менять можно

[shans5]

http://prntscr.com/eqfwqq

Ну что я могу сказать...
Тут на форуме куча специалистов.....

Вот мой дилетантский совет....

1)Нужно пробить весь скрипт... на наличие дыр...

2)Ну и по желанию-поставить ограничения ( это кому как нравится )
Выплаты 1 раз в 24 часа, максимальную сумму например рублей 30,если проект не особо раскручен

Ну и у юзера с ID 1 должно быть по нулям серебро...
К примеру зарегались 10 или 20 или 38 человек...
Зарегайся тоже,будет у тебя тестовый ID например 39 Какая разница-то....
И не админ ты будешь , а например ФИЛИМОН
 
Добавлено сообщение: 30 Марта 2017, 21:29:50

я могу доказать что кошель менять можно

Докажи.... Могу дать ссылку на игру...
Установлен модуль привязка кошелька...
Могу дать тестовый аккаунт с уже привязанным кошельком...
Сможешь сделать подмену?

[Joha]

Ну что я могу сказать...
Тут на форуме куча специалистов.....

Вот мой дилетантский совет....

1)Нужно пробить весь скрипт... на наличие дыр...

2)Ну и по желанию-поставить ограничения ( это кому как нравится )
Выплаты 1 раз в 24 часа, максимальную сумму например рублей 30,если проект не особо раскручен

Ну и у юзера с ID 1 должно быть по нулям серебро...
К примеру зарегались 10 или 20 или 38 человек...
Зарегайся тоже,будет у тебя тестовый ID например 39 Какая разница-то....
И не админ ты будешь , а например ФИЛИМОН
 
Добавлено сообщение: [time]30 Март 2017, 21:29:50[/time]Докажи.... Могу дать ссылку на игру...
Установлен модуль привязка кошелька...
Могу дать тестовый аккаунт с уже привязанным кошельком...
Сможешь сделать подмену?

Вот в скрипта есть файл
---------------------------------------------------
<?php
# Старт сессии
@session_start();
# Константа для Include
define("CONST_RUFUS", true);

# Автоподгрузка классов
function __autoload($name){ include("classes/_class.".$name.".php");}

# Класс конфига
$config = new config;

# Функции
$func = new func;

# База данных
$db = new db($config->HostDB, $config->UserDB, $config->PassDB, $config->BaseDB);


$user_id = $_SESSION["user_id"];
$db->Query("SELECT * FROM db_users_a, db_users_b WHERE db_users_a.id = db_users_b.id AND db_users_a.id = '$user_id'");

$prof_data = $db->FetchArray();
   
?>

<div style="font-size:24px;font-weight: bold;margin: 10px 0px 0px 0px;"><font color="#328426">На балансе <?=sprintf("%.2f",$prof_data["money_b"]); ?> монет.</font></div>
 --------------------------------------------
Добавлено сообщение: 30 Марта 2017, 21:42:58

Ну что я могу сказать...
Тут на форуме куча специалистов.....

Вот мой дилетантский совет....

1)Нужно пробить весь скрипт... на наличие дыр...

2)Ну и по желанию-поставить ограничения ( это кому как нравится )
Выплаты 1 раз в 24 часа, максимальную сумму например рублей 30,если проект не особо раскручен

Ну и у юзера с ID 1 должно быть по нулям серебро...
К примеру зарегались 10 или 20 или 38 человек...
Зарегайся тоже,будет у тебя тестовый ID например 39 Какая разница-то....
И не админ ты будешь , а например ФИЛИМОН
 
Добавлено сообщение: 30 Марта 2017, 21:29:50Докажи.... Могу дать ссылку на игру...
Установлен модуль привязка кошелька...
Могу дать тестовый аккаунт с уже привязанным кошельком...
Сможешь сделать подмену?

Смотрите чоотмне написал мониторинг утром
----------------------------
О, кстати забыл написать, что кто-то с моего  аккаунта вывел 10 рублей. Не я, у меня один кошелек всем известный

P13893025

[shans5]

я извиняюсь-это что ???  И зачем ?


Повторюсь: 

Нужно проверить весь скрипт на наличие уязвимостей

[Shop-53]

смогу еслы будет авто вывод

[maks161]

что за бред У ТЕБЯ В СКРИПТЕ СИДИТ ШЕЛЛ И НЕ ОДИН ВОТ И ВСЕ.
пока не почистишь скрипт деньги будут пропадать и привязка кошелька здесь не причем.
нужна помощь пиши в личку.

[shans5]

что за бред У ТЕБЯ В СКРИПТЕ СИДИТ ШЕЛЛ И НЕ ОДИН ВОТ И ВСЕ.
пока не почистишь скрипт деньги будут пропадать и привязка кошелька здесь не причем.
нужна помощь пиши в личку.

На счет бреда не понял в чей адрес

На счет остального...
Как же иногда бывает тяжело помочь тому,кто не хочет этой помощи...

Если кто-то не заметил,повторю свое сообщение:


Если деньги выводят,значит есть наличие дыр...
Одну уже выше сказали...
Так же нужно проверить наличие лишних файлов (на всякий случай)


shop53 подожди пару минут... щас оформлю левый аккаунт,чтоб реальный профиль не раскрывать  ))))

[Shop-53]

окей жду

[shans5]

Отходил от компа )))) написал в личку
 

[maks161]

На счет бреда не понял в чей адрес

На счет остального...
Как же иногда бывает тяжело помочь тому,кто не хочет этой помощи...

Если кто-то не заметил,повторю свое сообщение:


Если деньги выводят,значит есть наличие дыр...
Одну уже выше сказали...
Так же нужно проверить наличие лишних файлов (на всякий случай)


shop53 подожди пару минут... щас оформлю левый аккаунт,чтоб реальный профиль не раскрывать  ))))

не в твой адрес. это в общих чертах.

[shans5]

 

Пользователь Shop53 в стотысячный раз не выполнил своего обещания...
Мое личное мнение: не связывайтесь с этим человеком.

Вот скриншот из проекта , доступ к этому аккаунту был предоставлен юзеру Shop53

Дыра в скрипте

Видно,что кошелек привязан к аккаунту.
 Не буду выкладывать скриншоты переписки,но суть такая....

Он говорит что кошелек на самом деле не привязан,далее просит дать код от файла выплат....
В итоге ничего у него не выходит....
И наша личная переписка переходит к нецензурной лексике....


Для чего все это написано- Надоели.... Реально надоели те,кто трепят языком направо и налево.


Shop53 С этого момента я не отвечаю ни на одно твое сообщение и так далее....
Не поддерживаю никаких отношений.
Может это выглядит по детски,но я так решил.

P.S. Дарю тебе награду к профилю,лично от меня.

Прошу извинить за флуд в теме.

[Shop-53]

Я тебя отблогадарю жди хорошо отблогодарю спс

[shans5]

Очередная угроза ))))) 

Да подожду, куда я денусь то....

[takebet]

Ещё одна версия:
Если серфинг был рабочий, то могли через серфинг выводить!
Дело в том, что выплаты с серфинга не защищены ничем, пишется спец-код, заказывается реклама в серфинге на страницу с этим кодом, где любой кликнет и его деньги уходят к хакеру. Защита одна: платежный пароль!
А платежного пароля ведь нет.