pics or it didn't happen
Svima nam poznati Envato odnosno ThemeForest :) Dovoljno je bilo da otvore moj profil ili item, i stvar je kupljena. Da sam napravio skriptu tako da uzmem po 1$ od svakoga, ne bi primjetili. Propust je veoma smješan za site gdje se pare obrću, kao da su radili početnici.
@jablan, koriste RoR :D |
Hahaha ne mogu da verujem...
Zavuk`o si im onako lepo, programerski .) |
Ne razumem taj odnos - "propust je veoma smesan". Nasi svi bagovi su produkt dubokog razumevanja sistema i virtuzonosti dizajna softvera, i prakticno je bolje sto smo ih i izazvali. Bezvezan kvazi eltisticki stav koji ne pomaze nikome.
Bag ko bag. A tek jezik / frejmvork sto nema nikakve veze... PS - oces morati da vratis kintu? |
Nema veze, zezancija, PHP vs R, hoću reći, možeš biti loš programer u svakom jeziku.
Propust je (pisaću u PHP) što gledaju kroz $_REQUEST, koji može biti i $_POST i $_GET, znači poslao sam POST kroz GET, što je XSRF, je li, osnove web developmenta. Vratiće oni, ali će da se namuče, pošto je svako kupovao svačije u jednom trenutku :) Koliko mi kažu, nisu još. "propust je veoma smesan" u smislu zamisli da se to desi na PayPal, jer i ovi obrću ogromne količine novca. |
Tako sam ja našao BUG na fotolii sa affiliatima... Bilo je dovoljno da neko klikne na moj aff. link i automatski postaje moj aff iako je već imao otvoren nalog na FL...
Ubo sam nekih 30-40 USD prije nego su skontali |
Ovi još nisu skontali u čemu je problem ali se prave da jesu :) Problem je što još ima dosta rupa. Moraju da urade ozbiljan rewrite.
|
Neko je na ovom forumu pre par nedelja/meseci ostavio neku PHP klasu na codecanyon (takođe Envato) gde se direktnim linkom kupuje ta stavka (konkretno ova PHP klasa). I stvarno, ja klikn'o i automatski uradilo purchase... nisam se cimao za refund, mislim da je bilo $2-3 i ne isplati se cimati se za refund. A možda i posluži klasa ;D
|
|
Off Topic: da, to je to :) opušteno, radoznalost je ubila mačku, imam još 8 života :P |
Citat:
Rails po defaultu baca različite tipove requestova na različite akcije u kontroleru, tako da programer treba da bude baš uporan da otvori takvu rupu... |
Joj, kako ti je loš tajming...
|
@jablan, jeste, na POST formi je takođe bio token koji služi demonstarativno. Svi parametri su se mogli preko GET ili POST proslediti, što me navodi na zaključak da su koristili REQUEST, ako tako nešto postoji u RoR. Takođe sve ostale forme imaju istu bolest.
@Dušan, I'm good guy :) Nisam iskoristio novac. |
Ok pokazao si da si stručnjak u svom poslu ali šta si hteo da postigneš? What were you thinking :)
Da te upozorim, po onome što sam ja učio na faksu u očima zakona ti si prekršio krivično delo i još si se zajebo da nam svima ovde to priznaš. Citat:
Samo razmisli šta pričaš. Ne znam kako je u Tuzli ali ovde bi postao žrtva nekog ministartstva jer su izbori u toku :D |
Ma nisam "stručnjak", nije mi to cilj teme, što se mene tiče može se i obrisati... već ono, we were like, WTF. Javio sam odmah na support, dobio sam thanks (nisam ni https://www.facebook.com/whitehat/bounty/), a nisu spominjali lawsuit.
Nije mi cilj bio da nanesem štetu, već da testiram, nisam ja kriv što su to sebi dopustili :D Mogao sam puknuti rand i ne bi nikad mogli vratiti novac jer nemaju šanse da znaju ko je kako kupio i od koga. Hvala na upozorenju, a za ministarstva http://www.youtube.com/watch?v=gAd0f...tailpage#t=78s :D http://pokit.org/get/279d61dd2e334de...0a9afd0268.png http://pokit.org/get/9d33358bc0c78d9...8a53d1b652.png |
Vreme je GMT +2. Trenutno vreme je 09:44. |
Powered by vBulletin® Verzija 3.6.8
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Copyright © DevProTalk. All Rights Reserved.