Поиск админов для покупки движка gamecms

MpAimPro,
На заборе тоже написано, таких ***унов как ты пруд пруди.

Являюсь клиентом GameCMS, и могу лишь сказать, что лучшей системы для CS и технической поддержки еще не встречал.

Когда будет конкретная информация, тогда и будешь кукарекать. И отдельное спасибо, если кто-либо покажет ошибки безопасности или чего-либо еще. Их исправят и поедем дальше.

действительно, странно, ещё недавно был в сообществе gamecms, приятно общался, а теперь тут такое пишет.
Как просто нейтральный человек - вижу, что человеку видимо был какой-то интерес на проекте, но не получив этого он просто отправился во все тяжкие.
Проще ведь загнобить и убить проект, нежели создать, что то такое, как создал Стас.

Umbrella, Писал я ему баги и не раз, и все сведетели срача в телеге это видели, какие я давал и пруфы и просто наводки. Про зайти в любой акк писалось ещё в v2 версии, сейчас это не исправлено. SQL иньекций так-же полно, точнее не полно а весь движок в них...

Исправят ошибки??? Мб позвать сюда Андрея(6eda) который является партнером, и которому я фиксил баг с добавлением серверов 3 месяца?????
Одно поймите, что бы сделать тот двиг нормальным его нужно написать с нуля, все сказки что v3 написан с нуля это бред сивой кабылы.....


Честно сказать??? Просто в те времена он хоть что-то делал для улучшения, да были сказки сивой кабылы, но это не так доставала. А уже начиная с апреля, понеслась полная **** с его сказками что все нормально


Я даже не знаю такого человека который бы написал такой SQL запрос....

MpAimPro,
Если я дам ссылку на сайт своего сервера, сможешь ли ты зайти в мой аккаунт и доказать это хотя бы скриншотом? Слова без доказательств мало чего стоят.

Надеюсь на конструктивный диалог, спасибо!

Хотите пример SQL инъекции??

Сама функция ckeck

Даже в этом коде уже бред. Тк нафига проверять на существование переменной, если далее в любой функции все равно будет проверка на пустоту....

Заходим в любой файл и видим это


Для тех кто не понимает PHP поясняю, получаем данные через POST далее делаем SQL запрос. Только вот одно но, Данные которые мы получаем с формы на сайте как бы чистятся, но как-бы SQL инъекция через такую чистку на изи проходит. Даже если использовать функцию filter_var() все равно это не валилный SQL запрос.
Для таких случаев в PDO предусмотрена функция подготовленных запросов



И тут уже как не крути шелы в SQL мы закрываем.
Поэтому, все такие "защитнички" gcms, запомните одно, что бы этот двиг стал хоть в безопасности нормальный его нужно переписать весь....

В бей в гугле что такое куки и как они воруются, и далее поймешь всю суть как входить в аккаунты.
Те схема простая, тырим твои куки, далее подставляем себе, ну и пару движений и мы уже в твоем профиле.... Про это писалось ещё во времена v2

MpAimPro,
Я понимаю, что есть много разных способов стырить куки из браузера.

Сделай пожалуйста доброе дело, и покажи скриншот моего админского аккаунта.

Адрес: cs-monitor.pro (Администрация прошу разрешить размещение ссылки, не реклама).

ID аккаунта - 1.

Спасибо!

Umbrella, Ну так если знаешь как их тырят, то может поймешь как это делается.
Мне сейчас честно говоря лень с телефона лезть на FTP делать скрипт вора куков и далее подставлять их....

Я тебе пояснил как и что делается, можешь сам попробывать, там не чего сложного нету

MpAimPro,
Не сливайся, подкрепи свои слова действиями.

Иначе, твои слова ничего не стоят и слушать тебя никто не будет. Пока я вижу, что ты показываешь какие-то SQL-запросы кривые, куски кода и прочие вещи. Методов реализации великое множество, и всегда найдутся эксперты - кто скажет: "код дерьмо", "разработчик на всех положил", "Кто-то там сказал, что взломать может даже первоклассник Вася"...

Пойми одно, что критиковать продукт наш народ любит, а сделать что-то мало кто может. Я как человек не заинтересованный, прошу сделать то, что говоришь (без всяких отмазок про телефон и т.д.) или признать, что это были пустые слова и ты просто высказываешься по личным причинам свое негодование.

Если сам не можешь, то скинь эту задачу тем людям в чат на овер5000 сообщений. Где собрались профессионалы, которые собрались сливать движок... :)

Umbrella, А кто сливается?? Я тебе пояснил, суть как это работает. Нормальный человек поймет и сделает как я написал и зайдет в любой акк...

какие-то SQL Запросы? пфф, с такой криворукости можно спокойно творить что захочешь с БД... Реализаций SQL Запросов увы не много, и тут не эксперты не какие. Вся суть в безопасности. Даже если так подумать, такой движок на говнокоде сможет реализовать любой ребенок, ибо тут нету функционала какого-то сверх естественного.
Оки давай проще, кому ты бы заплатил, кто сделает по нормальному или тот кто сделает с дырками? Тут то и кроется суть.

Увы там люди сидят нормальные. Снять кодировку движка сможет любой кто почитает что такое eval и что такое обфускация. Зайди к примеру в index.php и замени все eval На echo и получишь исходный код, только с офускацией, которая прогоняется в цикле и обфуская снята. Про это ему так-же писали 2 года назад, причем не какой-то левый, а Onotole

MpAimPro, Ты извини конечно, но я соглашусь с автором, который находится выше поста. В данный момент твои слова пусты и ты делаешь из себя балабола. Почему я так говорю ? - Я заинтересован покупкой данного движка, но тут такоеее выдают, что гавнокод, можно легко взломать и т.д. Я вообще не силен в коде, ничего в этом не понимаю, разве что поменять пару строк, поэтому для меня супер код и гавно код - это темный лес для меня. Хотя бы подтверди свои слова, что его можно взломать, залезть в чужие аккаунты и тогда я и весь остальной народ поверит тебе. Но то что ты сейчас обосрал продукт, ни чем не обосновывая, разве что какие-то слова, которые понимает пару человек на форуме, не делает тебя правым. И вот эти отмазки, что "Я никому ничего не буду доказывать и т.д." - не нужно говорить, раз удосужился сказать "А", скажи и "Б".

Untlished, Открою секрет наверно для тебя. Показывать все возможные дырки, я не могу по одной простой причине, о которой скоро в принцепи вы все узнаете.
Насчет продемонстрировать?? Откройте телегу и посмотрите по поиску там я показывал пару шелов.
Ну а тем кто хочет попробывать SQL инъекцию и тд, просто заходим на любой сайт, и делаем по первым манам в инете, с раза 5ого у вас получится это 100%

А различать код не нужно, почитай что такое PDO И что такое подготовленный запрос в PDO.
Поясню для тебя, если в адресной строке к примеру, site.ru/users?id=1 мы можем дополнять параметры SQL Запроса site.ru/users?id=1+union+select+null,null/*
Ну и другие вариации к примеру при регистрации и тд....

Даже самый наглядный пример что двиг *** пройдись по всем хостингам (myhost, host5) и др, кто ведет сотруднечество с gcms. Какая там сейчас цена??? 1000р??? Не кажется уже что тут идет добор последних денег с этого умирающего двига. Логику включите и подумайте.

Ребзя вы вообще о чём...? раньше и в любую почту можно было куками логинится... И чего? Да и вообще не об этом хотел написать, Ну вошли в твою админку (зайдёт человек который шарит) как правило такие люди не шкодят, максимум выпишет себе привелегий... Ну что он через бд сайта выведет средства с всех акков себе на счёт авшор? Хватит уже, ну мб и есть дыры о которых пишут люди... и что это сайт гос-услуг что-ли? Я вот просто не представляю что можно делать с админкой движка... написать админ *** Пффф... врот компот да ваще похрену...

Открою секрет наверно, но любой ребенок почитавший что такое SQL инъекция сможет ей пользоваться.

Мне нравится твоя логика, купил двиг за 2к, и у тебя каждый день удаляются все админы и тд, чистятся баны и все что захочешь....


ну и второе, есть понятие допустить баг по ошибки своей, другое дело когда движок одна огромная дырка.... И при чем автор нагло это игнорирует и пытается срубить последние деньги на этом продукте

MpAimPro, Я не знаю как там у остальных... да даже если у меня бахнут админов, я делаю бекапы посуточно... никакого труда не составит вернуть и понять свою ошибку...

Теперь по сути: выше было сказано что нужны куки... каждый день, каждый второй школьник будет брать мои куки? Ммм.... занятно то как. Способ не подскажете, желаетльно что-бы времени уходило минуты 2.

Этой уязвимости лет 300 , способ её закрытия еще проще чем ею воспользоваться

MpAimPro, тогда возьми и свой создай чем чужой труд обсирать

grey, а вы бы на своем форуме так помогали пользователем раз сделали двиг

Там почти на все вопросы есть мануалы и ответы

EvilSMS, заговорил прям как блогер !