Модуль Быстрая СМС регистрация/авторизация SMS-PRO [Поддержка]

[Lidmano]

В 31.10.2020 в 07:56, lyamin сказал:

Очень хотелось бы только вход по СМС, без регистрации. т.е. клиент зарегестрировался обычным способом, в админке у него ФИО, а не номер телефона, и может войти по номеру без пароля. Это возможно? 

 

 

[HyperLabTeam]

 @vasiliy78
А пруфы где? че за голословное

1 час назад, vasiliy78 сказал:

дыра в безопасности

В безопасности чего? бонусных балов?

1 час назад, vasiliy78 сказал:

вводим номер на который хотим авторизоваться

А где вы эти номера телефонов с БД найдете для этой дырки?
какой то бред вы написали..
 

1 час назад, vasiliy78 сказал:

 предлагаю оплатить мой труд в развитии вашего модуля и вернуть потраченные на него денежные средства.

Вот с этого надо было начинать, бабло можно заработать на шахте

 

Спойлер

дыра в безопасности - бонусы в опасности

 

[legioner26]

3 минуты назад, Lidmano сказал:

 

Если в БД уже есть этот номер с такой маской, то будет авторизация.

[commerce_develop]

2 часа назад, vasiliy78 сказал:

Купил модуль установил. Потестил. К УСТАНОВКЕ ЭТО НЕДОПУСТИМО!

 

В модуле дыра в безопасности позволяющая авторизоваться на любой номер телефона который есть в базе. Сделать заказ, потратить бонусные баллы. 

 

Проблема заключается в том что отправляется смс на номер который берется из phone, на него отправляется смс. При вводе кода, на сервер постом улетает код и повторно номер телефона который берется из инпута введенного на первом шаге.  На сервере клиент авторизовывается по номеру телефона который пришел во втором посте. проверки нет.    $this->model_extension_module_sms_reg->loginTel($this->request->post['phone']);

 

Для того чтоб авторизоваться на любой номер,  отправляем смс на свой, вводим полученный код, скрываем modal-sms2 , появляется поле телефон с первого шага, вводим номер на который хотим авторизоваться, возвращаем видимость modal-sms2, жмем отправить. чудо...

 

Для решения данной проблемы необходимо на первом шаге писать номер который пришел в сессию, а на втором авторизовывать из сессии.

Ув.  legioner26 , ну и в целом код просмотрел, хот я и не програмист, но слабо. модуль писан на коленке.

 

еще из багов попробуйте выйти и снова войти, со страницы   logout. не получиться.

 

В связи с тем что в текущем варианте использовать модуль не является возможным, предлагаю оплатить мой труд в развитии вашего модуля и вернуть потраченные на него денежные средства.

 

 

Посмеялся от души

[vasiliy78]

Я не конкурент. Я обычный коммерс. 

ВЫ  legioner26  должны быть первым кто заинтересован в безопасности вашего модуля.

 

Если можно авторизоваться на любой неподвержденный  номер то это говорит о существенных проблемах в модуле.

 

 

первый пост

data: $('#smspanel2 input[name=\'phone\']'),

на сервере производится отправка смс без сохранения номера

второй пост

data: $('#smspanel2 input[name=\'phone\'], .registrsms input[name=\'code\']'),

на сервере обработка второго поста

if ($this->session->data['code_sms'] == $this->request->post["code"]) {
    $this->load->model('account/activity');
    if (!$this->model_extension_module_sms_reg->loginTel($this->request->post['phone'])) {

 Таким образом отправив произвольный номер телефона в о втором запросе, можно получить доступ к любому существующему аккаунту или наплодить неподтвежденных.

Змінено 22 грудня 2020 користувачем vasiliy78

[vasiliy78]

5 часов назад, abramsDesign сказал:

Посмеялся от души

Смеяться будете когда разруливать проблемы со своими клиентами будете.

[vasiliy78]

7 часов назад, AWARO сказал:

 @vasiliy78
А пруфы где? че за голословное

 

 

  Показать контент

дыра в безопасности - бонусы в опасности

 

я описал последовательность, чуть выше выложил куски кода, для того чтоб понять проблему. Если вам интересно поставьте да проверьте.

могу на гит залить, для изучения проблеммы

Змінено 22 грудня 2020 користувачем vasiliy78

[vasiliy78]

6 часов назад, AWARO сказал:

 @vasiliy78

Вот с этого надо было начинать, бабло можно заработать на шахте

 

  Показать контент

дыра в безопасности - бонусы в опасности

 

По моему вполне логично что покупая что то, я хочу чтоб это работало. Я не готов быть бетта тестером.

 

почему купив ту же симплу, вопросов к автору не возникло. поставил и забыл.

Змінено 22 грудня 2020 користувачем vasiliy78

[vasiliy78]

7 часов назад, legioner26 сказал:

Уважаемый. Проверка идет по маске, формирование кода для отправки тоже. Тут вариантов ошибиться нету. Также проблем с выйти и зайти тоже нету. Если мой модуль составляет Вам конкуренцию какую то, то я Вас прощаю. 

 

Очень жаль что вы не вникая в проблему, клонируете своим покупателям отписки в стиле "сам дурак"

Змінено 22 грудня 2020 користувачем vasiliy78

[vasiliy78]

legioner26,

ну а в целом, если уйти от основной темы обсуждения, по модулю действительно есть куда работать, тот  же модификатор для симплы, добавляющий кнопку... ну некрасиво/неудобно.

 

Что мешает, чтоб не лезть в код симплы, повесить дополнительный обработчик на кнопку продолжить/оформить

if ($('a').is('#simplecheckout_button_confirm') && $('input').is('#customer_telephone')) {    
    $('#simplecheckout_button_confirm')).click(function (e) {
      e.stopImmediatePropagation(); 
         ...
    });
}

 

и в момент нажатия  

тормозить всплывание, обрабатывать подтверждение смс и возвращать управление симпле.

может конечно тоже костыль, но запилил вроде работает...  

Змінено 22 грудня 2020 користувачем vasiliy78

[legioner26]

6 минут назад, vasiliy78 сказал:

legioner26,

ну а в целом, если уйти от основной темы обсуждения, по модулю действительно есть куда работать, тот  же модификатор для симплы, добавляющий кнопку... ну некрасиво/неудобно.

 

Что мешает, чтоб не лезть в код симплы, повесить дополнительный обработчик на кнопку продолжить/оформить

if ($('a').is('#simplecheckout_button_confirm') && $('input').is('#customer_telephone')) {
    flagEvent="order";
    addSimpleEvent($('#simplecheckout_button_confirm'));
}

и в момент нажатия  

e.stopImmediatePropagation(); 

тормозить всплывание, обрабатывать подтверждение смс и возвращать управление симпле.

может конечно тоже костыль, но запилил вроде работает...  

Причем тут это? Кнопка выходит на стороне симплы и все. Я сделал вывод кнопки.

[legioner26]

2 часа назад, vasiliy78 сказал:

Я не конкурент. Я обычный коммерс. 

ВЫ  legioner26  должны быть первым кто заинтересован в безопасности вашего модуля.

 

Если можно авторизоваться на любой неподвержденный  номер то это говорит о существенных проблемах в модуле.

 

 

первый пост

data: $('#smspanel2 input[name=\'phone\']'),

на сервере производится отправка смс без сохранения номера

второй пост

data: $('#smspanel2 input[name=\'phone\'], .registrsms input[name=\'code\']'),

на сервере обработка второго поста

if ($this->session->data['code_sms'] == $this->request->post["code"]) {
    $this->load->model('account/activity');
    if (!$this->model_extension_module_sms_reg->loginTel($this->request->post['phone'])) {

 Таким образом отправив произвольный номер телефона в о втором запросе, можно получить доступ к любому существующему аккаунту или наплодить неподтвежденных.

Мне вот интересно. Вы не программист. А пытаетесь писать как программист, вы же себя выдаете ))).

[legioner26]

С самого начала существования модуля, я старался прислушивать к клиентам и делал в модуле все их пожелания. В вашем же случае, в 1 же посте пытаетесь обосрать модуль. Так делают только на заказ, пытаюца найти хоть что то до чего можно докапаться.

Еслибы это было не так, то Вы бы написали просто мне в ЛС. 

[vasiliy78]

11 минут назад, legioner26 сказал:

Мне вот интересно. Вы не программист. А пытаетесь писать как программист, вы же себя выдаете ))).

 

Всё просто.

Я не зарабатываю деньги как программист, и не работаю программистом  но свои офлайновые проекты я всегда поддерживал сам,  поэтому скила достаточно.

Конкретно по авторизации было откровенно лень писать самому поэтому предпочел купить. 

А тут такие сюрпризы.

[vasiliy78]

9 минут назад, legioner26 сказал:

С самого начала существования модуля, я старался прислушивать к клиентам и делал в модуле все их пожелания. В вашем же случае, в 1 же посте пытаетесь обосрать модуль. Так делают только на заказ, пытаюца найти хоть что то до чего можно докапаться.

Еслибы это было не так, то Вы бы написали просто мне в ЛС. 

 

Вы ведете себя как типичный обидчивый програмист, которому сказали что код "гуано"

Я не докапываюсь, я заплатил деньги и после установки получил дырку в сайте.

Соответственно пытаюсь решить вопрос.

[vasiliy78]

21 минуту назад, legioner26 сказал:

Причем тут это? Кнопка выходит на стороне симплы и все. Я сделал вывод кнопки.

ну да. кнопка. это не претензия. я про что можно обойтись без неё, вопрос юзабилити

[legioner26]

21 минуту назад, vasiliy78 сказал:

 

Вы ведете себя как типичный обидчивый програмист, которому сказали что код "гуано"

Я не докапываюсь, я заплатил деньги и после установки получил дырку в сайте.

Соответственно пытаюсь решить вопрос.

Ну Вы же не программист. )))

Просто если что то и находят пользователи или программисты, то они пишут мне в ЛС, и я решаю проблемы. А Вы пишите в паблик, так делают только на заказ.

Я всегда иду на контакт со своими клиентами. Если бы я не шел на контакт, дело другое. 

[vasiliy78]

Только что, legioner26 сказал:

Ну Вы же не программист. )))

Просто если что то и находят пользователи или программисты, то они пишут мне в ЛС, и я решаю проблемы. А Вы пишите в паблик, так делают только на заказ.

Я всегда иду на контакт со своими клиентами. Если бы я не шел на контакт, дело другое. 

 

Вам есть что скрывать?

 

Это тема поддержки дополнения, соответственно если в дополнении есть проблема я об этом написал в существующую тему, там где купил модуль ( думаю что если бы это была заказуха то на всех профильных форумах возня была бы..)

 

Но в место решения проблем, вы начинаете начинаете писать что это заказуха. Даже если заказуха, в вашем модуле есть проблема с авторизацией и её надо устранить.

 

[vasiliy78]

 

Конкретно по моей покупке, я не планирую использовать ваш модуль в том формате в котором он есть, в него однозначно необходимо вносить правки. Поэтому предлагаю  вернуть уплаченные за него д/с и закрыть тему.

[legioner26]

34 минуты назад, vasiliy78 сказал:

 

Конкретно по моей покупке, я не планирую использовать ваш модуль в том формате в котором он есть, в него однозначно необходимо вносить правки. Поэтому предлагаю  вернуть уплаченные за него д/с и закрыть тему.

[vasiliy78]

7 минут назад, legioner26 сказал:

 

Наконец то появился конструктив

 

В исходниках которые скачиваются  с сайта 

эта функция выглядит следующим образом

public function ok_code($s)
{
    $code = substr(hexdec(substr(md5($s . rand(100, 900)), 0, 6)),0, 4);

    $this->session->data['code_sms'] = $code;
    return $code;
}

 ну и добавив  запись телефона в сессию возможность подмены  номера вы не убрали так как в модель для авторизации контроллер отправляет следующее

$this->model_extension_module_sms_reg->loginTel($this->request->post['phone']))

номер для авторизации надо брать из сессии..

 

 

[legioner26]

2 минуты назад, vasiliy78 сказал:

 

Наконец то появился конструктив

 

В исходниках которые скачиваются  с сайта 

эта функция выглядит следующим образом

public function ok_code($s)
{
    $code = substr(hexdec(substr(md5($s . rand(100, 900)), 0, 6)),0, 4);

    $this->session->data['code_sms'] = $code;
    return $code;
}

 ну и добавив  запись телефона в сессию возможность подмены  номера вы не убрали так как в модель для авторизации контроллер отправляет следующее

$this->model_extension_module_sms_reg->loginTel($this->request->post['phone']))

номер для авторизации надо брать из сессии..

 

 

Так ведь идет проверка номера то что в сессии и то что пришло.

[vasiliy78]

3 минуты назад, legioner26 сказал:

Так ведь идет проверка номера то что в сессии и то что пришло.

 if (!empty($this->request->post['phone']) && $this->request->post['phone'] == $this->session->data['sms_tel']) 

 

да увидел, добавили.

 

 

[legioner26]

4 минуты назад, vasiliy78 сказал:

 if (!empty($this->request->post['phone']) && $this->request->post['phone'] == $this->session->data['sms_tel']) 

 

да увидел, добавили.

 

 

Мне в случае чего, всегда пишут,и я иду всегда на контакт и правлю. Модуль постоянно обновляется. И скоро выйдет обновление по перрделки фронтовой части. Будет редактирование цветов и текста в админ панели. Вы начали очень агресивно, и это было похоже на заказную технику.

[vasiliy78]

11 часов назад, vasiliy78 сказал:

Купил модуль установил. Потестил. К УСТАНОВКЕ ЭТО НЕДОПУСТИМО!

 

В модуле дыра в безопасности позволяющая авторизоваться на любой номер телефона который есть в базе. Сделать заказ, потратить бонусные баллы. 

 

Проблема заключается в том что отправляется смс на номер который берется из phone, на него отправляется смс. При вводе кода, на сервер постом улетает код и повторно номер телефона который берется из инпута введенного на первом шаге.  На сервере клиент авторизовывается по номеру телефона который пришел во втором посте. проверки нет.    $this->model_extension_module_sms_reg->loginTel($this->request->post['phone']);

 

Для того чтоб авторизоваться на любой номер,  отправляем смс на свой, вводим полученный код, скрываем modal-sms2 , появляется поле телефон с первого шага, вводим номер на который хотим авторизоваться, возвращаем видимость modal-sms2, жмем отправить. чудо...

 

Для решения данной проблемы необходимо на первом шаге писать номер который пришел в сессию, а на втором авторизовывать из сессии.

Ув.  legioner26 , ну и в целом код просмотрел, хот я и не програмист, но слабо. модуль писан на коленке.

 

еще из багов попробуйте выйти и снова войти, со страницы   logout. не получиться.

 

В связи с тем что в текущем варианте использовать модуль не является возможным, предлагаю оплатить мой труд в развитии вашего модуля и вернуть потраченные на него денежные средства.

 

 

 

UPD : Автор решил вопрос, проблема безопасности устранена.