[Продам] скрипт авто-обменного пункта WM, QIWI, ЯД, Приват, PM, OKPay, V/MC

SellerWM

Создатель
Регистрация
27 Ноя 2013
Сообщения
0
Реакции
0
Здравствуйте. Продам скрипт автоматического обменного пункта WebMoney, Qiwi, Яндекс.Деньги, ПриватБанк Украина, Perfect Money, OKPay, Visa/MasterCard через LiqPay и ПриватБанк Украина, вывод в любой банк России через Qiwi, вывод на счета в банки через Qiwi (АльфаБанк, СберБанк, Русский стандарт, ВТБ24) Россия. Таблица импорта курсов валют для мониторингов. Партнёрская программа с накопительным процентом. Система накопительных бонусов для клиентов. Автоматический импорт курсов с банков НБУ, ЦБ РФ, ПриватБанк. Раздача WebMoney бонусов. Надежная защита от взлома. Удобная админ-панель. Инструкция по установке и настройке. Помощь в установке и настройке.

Цена: 200 $ за 12 платежек (полный комплект).
Оплата через WebMoney (аттестат продавца), либо Qiwi.

Используемые способы защиты от взлома:
1. Использование класса PDO для работы с базой данных MySQL, защищает от SQL инъекций и XSS атак.
2. Использование собственного CMS (никаких лишних функций и т.п.).
3. Дополнительные кеши при выполнении платежей (защита от подмены данных).
4. Обратная связь при получении платежей (опрос платежной системы на наличие платежа в действительности), защищает от подбора секретных ключей к кешам.
5. Дополнительная защита админ-панели, возможность её переименования, авторизация по логину и паролю, дополнительная авторизация по WM идентификатору.
6. Основные настройки хранятся в файле на сервере, а не в базе данных.

Доступные валюты платежных систем работающих в полностью АВТОМАТИЧЕСКОМ режиме:
- WebMoney (ВебМоней) WMZ, WMR, WME, WMU, WMY, WMB, WMG;
- Qiwi (Киви) RUB, USD, EUR;
- Яндекс.Деньги (Yandex.Money);
- ПриватБанк Украина (Приват24, Privat24, PrivatBank) UAH, USD, EUR;
- Visa/MasterCard (приём через LiqPay, вывод через ПриватБанк) UAH, USD, EUR;
- Perfect Money (Перфект Моней) USD, EUR;
- OKPay (ОКПей) USD, RUB, EUR;
- Вывод на любую банковскую карту через Qiwi: RUB;
- Вывод на счет АльфаБанка через Qiwi: RUB;
- Вывод на счет ВТБ24 через Qiwi: RUB;
- Вывод на счет СберБанк через Qiwi: RUB;
- Вывод на счет Русский Стандарт через Qiwi: RUB.

Пример: Для просмотра ссылки Войди или Зарегистрируйся, Для просмотра ссылки Войди или Зарегистрируйся

Все вопросы задавайте здесь.
 
Последнее редактирование:
Последнее редактирование:
решила апнуть эту тему. сегодня 2 часа бродила по нету. данный скрипт автор в данный момент кодирует ионкубом.
но в сети есть достоверная информация что 90% всех обменников на данном движке были взломаны и бабки утащили.
сегодня разговаривала с автором с сайта _ttp://doex.info/ по аське и он подтвердил, что да после покупки кусок кода будет закрыт.
хотя автор сам же признался что в прошлых версиях вставлял код чтоб убивать обменники (типа не купленные у него) и через эту уязвимость х типа и вскрывали. а где гарантия что не он сам.
и где гарантия что этих дырок версии 2.0 нет в последней версии.

в общем не купила. и советую не покупать остальным. мутный скрипт. негативный.
 
Для просмотра ссылки Войди или Зарегистрируйся
Платежная система Qiwi - Способ вывода
(xml протокол ishop.qiwi.com)
Нужен был XML, пол дня провозился. Постоянная ошибка авторизации.
Накатал в сапорт.
Ответ от сапорта QIWI и менеджера QIWI
Добрый день! XML-протокол не работает на новом сайте
Про автора мнение оставлю при себе.
 
  • Нравится
Реакции: djav
основная тема скрипта XERON Exchanger по сливу денег реализована в файле cron.php.
Суть уязвимости cron.php заключена в том, что при многократном обновление скрипта cron.php после обмена можно получить x2 или х3 выплат.
Т.е. вы совершаете обмен, предварительно открыв в разных браузерах файл с site.ru/cron.php и как совершили обмен сразу же обновляете страницу site.ru/cron.php и вуаля на ваш кошелек падает 2-3 выплаты.

Как защититься?
Вариант 1. Самый простой - переименуйте файл cron.php в bla-blaXXXXXbla-bla.php (короче вы поняли:) ) и все.
Вариант 2. Переписать логику cron.php и сделать доступ только с тех IP которым вы доверяете и с IP адресов платежных систем которые будут слать вам колбеки.

Уязвимость в возможности совершить SQL инъекцию:
SQL инъекцию можно совершить, злоумышленник может изменить пароль админа и войти в админку.
Как защититься?
Просто: файл админки переименовываете в другое название и в файле site.ru/admin/template/pre-handlers/auth.handler.php в строке 27 меняете метод формирования хеша вашего пароля. Таким образом Паша Попов если и захочет провести sql инъекцию то не сможет зайти в админку так как не знает принцип формирования алгоритма хеша.

Но SQL инъекция это все таки опасная штука, так как кто-то уже пытался взломать мой обменник через инъекцию(но в силу моих правок в код не смог ничего вывести), я отключил функционал получения бонуса и на этом песня закончилась. Таким образом я полагаю, что в файле public\pages\handlers\bonus.handler.php (он во вложении) и есть кусок кода который позволяет провести инъекцию.
Если есть знатоки по программированию то прошу проанализировать данный файл.

Забыл добавить, так же если вы все же решились использовать данный скрипт то настоятельно рекомендую изменить префикс таблиц. Это так же очень важно.
З.Ы Я использую данный скрипт обменника скаченный в инете уже более года. Первый раз меня взломали на 400-500 руб(славу богу был у компа и быстро прикрыл возможность вывода), а во второй раз меня взломали но ничего не угнали :)
 

Вложения

  • bonus.handler.rar
    2,6 KB · Просмотры: 9
Последнее редактирование модератором:
Номер WMID свой скажи.

Ложь, Есть LFI.

И да, автор его продает чуток дороже. Для просмотра ссылки Войди или Зарегистрируйся

Супер, а можешь конкретнее показать кусок кода (с названием файла) где можно реализовать LFI?
А то выглядит твое предупреждение голословно.
 
Насчет файла bonus.handler.php: строки 67 и 85 - там возможна инъекция SQL, потому что не используется DB()->prepare, а сразу DB()->query с данными, полученными извне.
 
Назад
Сверху