1. Внимание! Строго запрещен ап своих тем чаще чем раз в 7 дней! Если ваши услуги/товары никому не интересны - UP вам не поможет! Хотите чтобы тема была сверху всегда - оплачивайте закрепление!

[Продам] скрипт авто-обменного пункта WM, QIWI, ЯД, Приват, PM, OKPay, V/MC

Тема в разделе "Рекламный раздел", создана пользователем SellerWM, 28 ноя 2013.

  1. SellerWM

    SellerWM Создатель

    Регистр.:
    27 ноя 2013
    Сообщения:
    0
    Симпатии:
    0
    Здравствуйте. Продам скрипт автоматического обменного пункта WebMoney, Qiwi, Яндекс.Деньги, ПриватБанк Украина, Perfect Money, OKPay, Visa/MasterCard через LiqPay и ПриватБанк Украина, вывод в любой банк России через Qiwi, вывод на счета в банки через Qiwi (АльфаБанк, СберБанк, Русский стандарт, ВТБ24) Россия. Таблица импорта курсов валют для мониторингов. Партнёрская программа с накопительным процентом. Система накопительных бонусов для клиентов. Автоматический импорт курсов с банков НБУ, ЦБ РФ, ПриватБанк. Раздача WebMoney бонусов. Надежная защита от взлома. Удобная админ-панель. Инструкция по установке и настройке. Помощь в установке и настройке.

    Цена: 200 $ за 12 платежек (полный комплект).
    Оплата через WebMoney (аттестат продавца), либо Qiwi.

    Используемые способы защиты от взлома:
    1. Использование класса PDO для работы с базой данных MySQL, защищает от SQL инъекций и XSS атак.
    2. Использование собственного CMS (никаких лишних функций и т.п.).
    3. Дополнительные кеши при выполнении платежей (защита от подмены данных).
    4. Обратная связь при получении платежей (опрос платежной системы на наличие платежа в действительности), защищает от подбора секретных ключей к кешам.
    5. Дополнительная защита админ-панели, возможность её переименования, авторизация по логину и паролю, дополнительная авторизация по WM идентификатору.
    6. Основные настройки хранятся в файле на сервере, а не в базе данных.

    Доступные валюты платежных систем работающих в полностью АВТОМАТИЧЕСКОМ режиме:
    - WebMoney (ВебМоней) WMZ, WMR, WME, WMU, WMY, WMB, WMG;
    - Qiwi (Киви) RUB, USD, EUR;
    - Яндекс.Деньги (Yandex.Money);
    - ПриватБанк Украина (Приват24, Privat24, PrivatBank) UAH, USD, EUR;
    - Visa/MasterCard (приём через LiqPay, вывод через ПриватБанк) UAH, USD, EUR;
    - Perfect Money (Перфект Моней) USD, EUR;
    - OKPay (ОКПей) USD, RUB, EUR;
    - Вывод на любую банковскую карту через Qiwi: RUB;
    - Вывод на счет АльфаБанка через Qiwi: RUB;
    - Вывод на счет ВТБ24 через Qiwi: RUB;
    - Вывод на счет СберБанк через Qiwi: RUB;
    - Вывод на счет Русский Стандарт через Qiwi: RUB.

    Пример: https://obmin.net/, http://elex.biz/

    Все вопросы задавайте здесь.
     
    Последнее редактирование: 28 ноя 2013
  2. stealthdebuger

    stealthdebuger Механик

    Administrator
    Регистр.:
    25 авг 2008
    Сообщения:
    628
    Симпатии:
    1.388
    Номер WMID свой скажи.

    Ложь, Есть LFI.

    И да, автор его продает чуток дороже. http://web-expert.pro/xeronexchanger.php
     
    Последнее редактирование: 28 ноя 2013
  3. Foxeevna

    Foxeevna Создатель

    Регистр.:
    1 апр 2009
    Сообщения:
    40
    Симпатии:
    4
    решила апнуть эту тему. сегодня 2 часа бродила по нету. данный скрипт автор в данный момент кодирует ионкубом.
    но в сети есть достоверная информация что 90% всех обменников на данном движке были взломаны и бабки утащили.
    сегодня разговаривала с автором с сайта _ttp://doex.info/ по аське и он подтвердил, что да после покупки кусок кода будет закрыт.
    хотя автор сам же признался что в прошлых версиях вставлял код чтоб убивать обменники (типа не купленные у него) и через эту уязвимость х типа и вскрывали. а где гарантия что не он сам.
    и где гарантия что этих дырок версии 2.0 нет в последней версии.

    в общем не купила. и советую не покупать остальным. мутный скрипт. негативный.
     
    Горбушка нравится это.
  4. invader

    invader Серый кардинал в отставке :)

    Moderator
    • Супермодератор
    Регистр.:
    3 апр 2006
    Сообщения:
    2.736
    Симпатии:
    5.714
    http://doex.info/price.php
    Платежная система Qiwi - Способ вывода
    (xml протокол ishop.qiwi.com)
    Нужен был XML, пол дня провозился. Постоянная ошибка авторизации.
    Накатал в сапорт.
    Ответ от сапорта QIWI и менеджера QIWI
    Про автора мнение оставлю при себе.
     
    djav нравится это.
  5. djav

    djav Постоялец

    Регистр.:
    3 апр 2008
    Сообщения:
    117
    Симпатии:
    49
    основная тема скрипта XERON Exchanger по сливу денег реализована в файле cron.php.
    Суть уязвимости cron.php заключена в том, что при многократном обновление скрипта cron.php после обмена можно получить x2 или х3 выплат.
    Т.е. вы совершаете обмен, предварительно открыв в разных браузерах файл с site.ru/cron.php и как совершили обмен сразу же обновляете страницу site.ru/cron.php и вуаля на ваш кошелек падает 2-3 выплаты.

    Как защититься?
    Вариант 1. Самый простой - переименуйте файл cron.php в bla-blaXXXXXbla-bla.php (короче вы поняли:) ) и все.
    Вариант 2. Переписать логику cron.php и сделать доступ только с тех IP которым вы доверяете и с IP адресов платежных систем которые будут слать вам колбеки.

    Уязвимость в возможности совершить SQL инъекцию:
    SQL инъекцию можно совершить, злоумышленник может изменить пароль админа и войти в админку.
    Как защититься?
    Просто: файл админки переименовываете в другое название и в файле site.ru/admin/template/pre-handlers/auth.handler.php в строке 27 меняете метод формирования хеша вашего пароля. Таким образом Паша Попов если и захочет провести sql инъекцию то не сможет зайти в админку так как не знает принцип формирования алгоритма хеша.

    Но SQL инъекция это все таки опасная штука, так как кто-то уже пытался взломать мой обменник через инъекцию(но в силу моих правок в код не смог ничего вывести), я отключил функционал получения бонуса и на этом песня закончилась. Таким образом я полагаю, что в файле public\pages\handlers\bonus.handler.php (он во вложении) и есть кусок кода который позволяет провести инъекцию.
    Если есть знатоки по программированию то прошу проанализировать данный файл.

    Забыл добавить, так же если вы все же решились использовать данный скрипт то настоятельно рекомендую изменить префикс таблиц. Это так же очень важно.
    З.Ы Я использую данный скрипт обменника скаченный в инете уже более года. Первый раз меня взломали на 400-500 руб(славу богу был у компа и быстро прикрыл возможность вывода), а во второй раз меня взломали но ничего не угнали :)
     

    Вложения:

    Последнее редактирование модератором: 31 окт 2016
  6. djav

    djav Постоялец

    Регистр.:
    3 апр 2008
    Сообщения:
    117
    Симпатии:
    49
    Супер, а можешь конкретнее показать кусок кода (с названием файла) где можно реализовать LFI?
    А то выглядит твое предупреждение голословно.