Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

Recommended Posts

В 31.10.2020 в 07:56, lyamin сказал:

Очень хотелось бы только вход по СМС, без регистрации. т.е. клиент зарегестрировался обычным способом, в админке у него ФИО, а не номер телефона, и может войти по номеру без пароля. Это возможно? 

 

 

Надіслати
Поділитися на інших сайтах


 @vasiliy78
А пруфы где? че за голословное

1 час назад, vasiliy78 сказал:

дыра в безопасности

В безопасности чего? бонусных балов?

1 час назад, vasiliy78 сказал:

вводим номер на который хотим авторизоваться


А где вы эти номера телефонов с БД найдете для этой дырки?
какой то бред вы написали..
 

1 час назад, vasiliy78 сказал:

 предлагаю оплатить мой труд в развитии вашего модуля и вернуть потраченные на него денежные средства.

Вот с этого надо было начинать, бабло можно заработать на шахте


 

Спойлер

дыра в безопасности - бонусы в опасности

Screenshot_1111.thumb.jpg.5b908fe494a70a50ffc5d55cf0dfcdce.jpg

 

  • +1 1
Надіслати
Поділитися на інших сайтах


3 минуты назад, Lidmano сказал:

 

Если в БД уже есть этот номер с такой маской, то будет авторизация.

  • +1 1
Надіслати
Поділитися на інших сайтах

2 часа назад, vasiliy78 сказал:

Купил модуль установил. Потестил. К УСТАНОВКЕ ЭТО НЕДОПУСТИМО!

 

В модуле дыра в безопасности позволяющая авторизоваться на любой номер телефона который есть в базе. Сделать заказ, потратить бонусные баллы. 

 

Проблема заключается в том что отправляется смс на номер который берется из phone, на него отправляется смс. При вводе кода, на сервер постом улетает код и повторно номер телефона который берется из инпута введенного на первом шаге.  На сервере клиент авторизовывается по номеру телефона который пришел во втором посте. проверки нет.    $this->model_extension_module_sms_reg->loginTel($this->request->post['phone']);

 

Для того чтоб авторизоваться на любой номер,  отправляем смс на свой, вводим полученный код, скрываем modal-sms2 , появляется поле телефон с первого шага, вводим номер на который хотим авторизоваться, возвращаем видимость modal-sms2, жмем отправить. чудо...

 

Для решения данной проблемы необходимо на первом шаге писать номер который пришел в сессию, а на втором авторизовывать из сессии.

Ув.  legioner26 , ну и в целом код просмотрел, хот я и не програмист, но слабо. модуль писан на коленке.

 

еще из багов попробуйте выйти и снова войти, со страницы   logout. не получиться.

 

В связи с тем что в текущем варианте использовать модуль не является возможным, предлагаю оплатить мой труд в развитии вашего модуля и вернуть потраченные на него денежные средства.

 

 

Посмеялся от души :lol::mrgreen:

Надіслати
Поділитися на інших сайтах


Я не конкурент. Я обычный коммерс. 

ВЫ  legioner26  должны быть первым кто заинтересован в безопасности вашего модуля.

 

Если можно авторизоваться на любой неподвержденный  номер то это говорит о существенных проблемах в модуле.

 

 

первый пост

data: $('#smspanel2 input[name=\'phone\']'),

на сервере производится отправка смс без сохранения номера

второй пост

data: $('#smspanel2 input[name=\'phone\'], .registrsms input[name=\'code\']'),

на сервере обработка второго поста

if ($this->session->data['code_sms'] == $this->request->post["code"]) {
    $this->load->model('account/activity');
    if (!$this->model_extension_module_sms_reg->loginTel($this->request->post['phone'])) {

 Таким образом отправив произвольный номер телефона в о втором запросе, можно получить доступ к любому существующему аккаунту или наплодить неподтвежденных.

Змінено користувачем vasiliy78
  • +1 1
Надіслати
Поділитися на інших сайтах


7 часов назад, AWARO сказал:

 @vasiliy78
А пруфы где? че за голословное

 


 

  Показать контент

дыра в безопасности - бонусы в опасности

Screenshot_1111.thumb.jpg.5b908fe494a70a50ffc5d55cf0dfcdce.jpg

 

я описал последовательность, чуть выше выложил куски кода, для того чтоб понять проблему. Если вам интересно поставьте да проверьте.

могу на гит залить, для изучения проблеммы

Змінено користувачем vasiliy78
Надіслати
Поділитися на інших сайтах


6 часов назад, AWARO сказал:

 @vasiliy78

Вот с этого надо было начинать, бабло можно заработать на шахте


 

  Показать контент

дыра в безопасности - бонусы в опасности

Screenshot_1111.thumb.jpg.5b908fe494a70a50ffc5d55cf0dfcdce.jpg

 

По моему вполне логично что покупая что то, я хочу чтоб это работало. Я не готов быть бетта тестером.

 

почему купив ту же симплу, вопросов к автору не возникло. поставил и забыл.

Змінено користувачем vasiliy78
Надіслати
Поділитися на інших сайтах


7 часов назад, legioner26 сказал:

Уважаемый. Проверка идет по маске, формирование кода для отправки тоже. Тут вариантов ошибиться нету. Также проблем с выйти и зайти тоже нету. Если мой модуль составляет Вам конкуренцию какую то, то я Вас прощаю. 

 

Очень жаль что вы не вникая в проблему, клонируете своим покупателям отписки в стиле "сам дурак"

Змінено користувачем vasiliy78
Надіслати
Поділитися на інших сайтах


legioner26,

ну а в целом, если уйти от основной темы обсуждения, по модулю действительно есть куда работать, тот  же модификатор для симплы, добавляющий кнопку... ну некрасиво/неудобно.

 

Что мешает, чтоб не лезть в код симплы, повесить дополнительный обработчик на кнопку продолжить/оформить

if ($('a').is('#simplecheckout_button_confirm') && $('input').is('#customer_telephone')) {    
    $('#simplecheckout_button_confirm')).click(function (e) {
      e.stopImmediatePropagation(); 
         ...
    });
}

 

и в момент нажатия  

тормозить всплывание, обрабатывать подтверждение смс и возвращать управление симпле.

может конечно тоже костыль, но запилил вроде работает...  

Змінено користувачем vasiliy78
Надіслати
Поділитися на інших сайтах


6 минут назад, vasiliy78 сказал:

legioner26,

ну а в целом, если уйти от основной темы обсуждения, по модулю действительно есть куда работать, тот  же модификатор для симплы, добавляющий кнопку... ну некрасиво/неудобно.

 

Что мешает, чтоб не лезть в код симплы, повесить дополнительный обработчик на кнопку продолжить/оформить


if ($('a').is('#simplecheckout_button_confirm') && $('input').is('#customer_telephone')) {
    flagEvent="order";
    addSimpleEvent($('#simplecheckout_button_confirm'));
}

и в момент нажатия  


e.stopImmediatePropagation(); 

тормозить всплывание, обрабатывать подтверждение смс и возвращать управление симпле.

может конечно тоже костыль, но запилил вроде работает...  

Причем тут это? Кнопка выходит на стороне симплы и все. Я сделал вывод кнопки.

Надіслати
Поділитися на інших сайтах

2 часа назад, vasiliy78 сказал:

Я не конкурент. Я обычный коммерс. 

ВЫ  legioner26  должны быть первым кто заинтересован в безопасности вашего модуля.

 

Если можно авторизоваться на любой неподвержденный  номер то это говорит о существенных проблемах в модуле.

 

 

первый пост


data: $('#smspanel2 input[name=\'phone\']'),

на сервере производится отправка смс без сохранения номера

второй пост


data: $('#smspanel2 input[name=\'phone\'], .registrsms input[name=\'code\']'),

на сервере обработка второго поста


if ($this->session->data['code_sms'] == $this->request->post["code"]) {
    $this->load->model('account/activity');
    if (!$this->model_extension_module_sms_reg->loginTel($this->request->post['phone'])) {

 Таким образом отправив произвольный номер телефона в о втором запросе, можно получить доступ к любому существующему аккаунту или наплодить неподтвежденных.

Мне вот интересно. Вы не программист. А пытаетесь писать как программист, вы же себя выдаете ))).

Надіслати
Поділитися на інших сайтах

С самого начала существования модуля, я старался прислушивать к клиентам и делал в модуле все их пожелания. В вашем же случае, в 1 же посте пытаетесь обосрать модуль. Так делают только на заказ, пытаюца найти хоть что то до чего можно докапаться.

Еслибы это было не так, то Вы бы написали просто мне в ЛС. 

  • +1 1
Надіслати
Поділитися на інших сайтах

11 минут назад, legioner26 сказал:

Мне вот интересно. Вы не программист. А пытаетесь писать как программист, вы же себя выдаете ))).

 

Всё просто.

Я не зарабатываю деньги как программист, и не работаю программистом  но свои офлайновые проекты я всегда поддерживал сам,  поэтому скила достаточно.

Конкретно по авторизации было откровенно лень писать самому поэтому предпочел купить. 

А тут такие сюрпризы.

Надіслати
Поділитися на інших сайтах


9 минут назад, legioner26 сказал:

С самого начала существования модуля, я старался прислушивать к клиентам и делал в модуле все их пожелания. В вашем же случае, в 1 же посте пытаетесь обосрать модуль. Так делают только на заказ, пытаюца найти хоть что то до чего можно докапаться.

Еслибы это было не так, то Вы бы написали просто мне в ЛС. 

 

Вы ведете себя как типичный обидчивый програмист, которому сказали что код "гуано"

Я не докапываюсь, я заплатил деньги и после установки получил дырку в сайте.

Соответственно пытаюсь решить вопрос.

Надіслати
Поділитися на інших сайтах


21 минуту назад, legioner26 сказал:

Причем тут это? Кнопка выходит на стороне симплы и все. Я сделал вывод кнопки.

ну да. кнопка. это не претензия. я про что можно обойтись без неё, вопрос юзабилити

Надіслати
Поділитися на інших сайтах


21 минуту назад, vasiliy78 сказал:

 

Вы ведете себя как типичный обидчивый програмист, которому сказали что код "гуано"

Я не докапываюсь, я заплатил деньги и после установки получил дырку в сайте.

Соответственно пытаюсь решить вопрос.

Ну Вы же не программист. )))

Просто если что то и находят пользователи или программисты, то они пишут мне в ЛС, и я решаю проблемы. А Вы пишите в паблик, так делают только на заказ.

Я всегда иду на контакт со своими клиентами. Если бы я не шел на контакт, дело другое. 

  • +1 1
Надіслати
Поділитися на інших сайтах

Только что, legioner26 сказал:

Ну Вы же не программист. )))

Просто если что то и находят пользователи или программисты, то они пишут мне в ЛС, и я решаю проблемы. А Вы пишите в паблик, так делают только на заказ.

Я всегда иду на контакт со своими клиентами. Если бы я не шел на контакт, дело другое. 

 

Вам есть что скрывать?

 

Это тема поддержки дополнения, соответственно если в дополнении есть проблема я об этом написал в существующую тему, там где купил модуль ( думаю что если бы это была заказуха то на всех профильных форумах возня была бы..)

 

Но в место решения проблем, вы начинаете начинаете писать что это заказуха. Даже если заказуха, в вашем модуле есть проблема с авторизацией и её надо устранить.

 

Надіслати
Поділитися на інших сайтах


 

Конкретно по моей покупке, я не планирую использовать ваш модуль в том формате в котором он есть, в него однозначно необходимо вносить правки. Поэтому предлагаю  вернуть уплаченные за него д/с и закрыть тему.

Надіслати
Поділитися на інших сайтах


34 минуты назад, vasiliy78 сказал:

 

Конкретно по моей покупке, я не планирую использовать ваш модуль в том формате в котором он есть, в него однозначно необходимо вносить правки. Поэтому предлагаю  вернуть уплаченные за него д/с и закрыть тему.

image.png.abe987bf8e124c56200c272c6e52f02a.png

image.thumb.png.6286e790ea1060ebf3edf8e4a027b6c0.png

Надіслати
Поділитися на інших сайтах

7 минут назад, legioner26 сказал:

image.png.abe987bf8e124c56200c272c6e52f02a.png

image.thumb.png.6286e790ea1060ebf3edf8e4a027b6c0.png

 

Наконец то появился конструктив

 

В исходниках которые скачиваются  с сайта 

эта функция выглядит следующим образом

public function ok_code($s)
{
    $code = substr(hexdec(substr(md5($s . rand(100, 900)), 0, 6)),0, 4);

    $this->session->data['code_sms'] = $code;
    return $code;
}

 ну и добавив  запись телефона в сессию возможность подмены  номера вы не убрали так как в модель для авторизации контроллер отправляет следующее

$this->model_extension_module_sms_reg->loginTel($this->request->post['phone']))

номер для авторизации надо брать из сессии..

 

 

Надіслати
Поділитися на інших сайтах


2 минуты назад, vasiliy78 сказал:

 

Наконец то появился конструктив

 

В исходниках которые скачиваются  с сайта 

эта функция выглядит следующим образом


public function ok_code($s)
{
    $code = substr(hexdec(substr(md5($s . rand(100, 900)), 0, 6)),0, 4);

    $this->session->data['code_sms'] = $code;
    return $code;
}

 ну и добавив  запись телефона в сессию возможность подмены  номера вы не убрали так как в модель для авторизации контроллер отправляет следующее


$this->model_extension_module_sms_reg->loginTel($this->request->post['phone']))

номер для авторизации надо брать из сессии..

 

 

Так ведь идет проверка номера то что в сессии и то что пришло.

Надіслати
Поділитися на інших сайтах

3 минуты назад, legioner26 сказал:

Так ведь идет проверка номера то что в сессии и то что пришло.

 if (!empty($this->request->post['phone']) && $this->request->post['phone'] == $this->session->data['sms_tel']) 

 

да увидел, добавили.

 

 

Надіслати
Поділитися на інших сайтах


4 минуты назад, vasiliy78 сказал:

 if (!empty($this->request->post['phone']) && $this->request->post['phone'] == $this->session->data['sms_tel']) 

 

да увидел, добавили.

 

 

Мне в случае чего, всегда пишут,и я иду всегда на контакт и правлю. Модуль постоянно обновляется. И скоро выйдет обновление по перрделки фронтовой части. Будет редактирование цветов и текста в админ панели. Вы начали очень агресивно, и это было похоже на заказную технику.

Надіслати
Поділитися на інших сайтах

11 часов назад, vasiliy78 сказал:

Купил модуль установил. Потестил. К УСТАНОВКЕ ЭТО НЕДОПУСТИМО!

 

В модуле дыра в безопасности позволяющая авторизоваться на любой номер телефона который есть в базе. Сделать заказ, потратить бонусные баллы. 

 

Проблема заключается в том что отправляется смс на номер который берется из phone, на него отправляется смс. При вводе кода, на сервер постом улетает код и повторно номер телефона который берется из инпута введенного на первом шаге.  На сервере клиент авторизовывается по номеру телефона который пришел во втором посте. проверки нет.    $this->model_extension_module_sms_reg->loginTel($this->request->post['phone']);

 

Для того чтоб авторизоваться на любой номер,  отправляем смс на свой, вводим полученный код, скрываем modal-sms2 , появляется поле телефон с первого шага, вводим номер на который хотим авторизоваться, возвращаем видимость modal-sms2, жмем отправить. чудо...

 

Для решения данной проблемы необходимо на первом шаге писать номер который пришел в сессию, а на втором авторизовывать из сессии.

Ув.  legioner26 , ну и в целом код просмотрел, хот я и не програмист, но слабо. модуль писан на коленке.

 

еще из багов попробуйте выйти и снова войти, со страницы   logout. не получиться.

 

В связи с тем что в текущем варианте использовать модуль не является возможным, предлагаю оплатить мой труд в развитии вашего модуля и вернуть потраченные на него денежные средства.

 

 

 

UPD : Автор решил вопрос, проблема безопасности устранена.

Надіслати
Поділитися на інших сайтах


Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.