1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.
  2. Вы находитесь в сообществе Rubukkit. Мы - администраторы серверов Minecraft, разрабатываем собственные плагины и переводим на различные языки плагины наших коллег из других стран.
    Скрыть объявление
Скрыть объявление
В преддверии глобального обновления, мы проводим исследования, которые помогут нам сделать опыт пользования форумом ещё удобнее. Помогите нам, примите участие!

Что изменить?

Тема в разделе "Оффтопик", создана пользователем Toster_tpl, 25 окт 2014.

  1. Wolfwood

    Wolfwood Активный участник Пользователь

    Баллы:
    88
    Сделай под WebMCR.
    Всё что есть под WebMCR сейчас - ужос.
     
  2. alexandrage

    alexandrage Старожил Пользователь

    Баллы:
    173
    Там через дыру в админку можно попасть, не советую его юзать.
     
  3. Wolfwood

    Wolfwood Активный участник Пользователь

    Баллы:
    88
    Ужо год на нём сижу. Дырка серьёзная? Поможешь пофиксить или хотя бы указать на неё?)
     
  4. alexandrage

    alexandrage Старожил Пользователь

    Баллы:
    173
    Ну везет пока что, указал бы еслиб знал где именно. Все до разу, видимо еще почти никто о ней не знает. Это как старый сашок, жил себе жил и понеслось :D.
     
  5. Автор темы
    Toster_tpl

    Toster_tpl Старожил Пользователь

    Баллы:
    153
    Не только в админку.
    Везде, где есть форма отправки.

    В данном модуле этой дыры нет.
     
  6. Zakton

    Zakton Активный участник Пользователь

    Баллы:
    68
    Могу купить :)
     
  7. Миднайтко

    Миднайтко Старожил Пользователь

    Баллы:
    153
    Не уж-то наконец почитал про CSRF? :D
    Кстати, не выводится почему-то ничего из товаров, пишет: "Пусто Нет доступных предметов"
    Не везде, там токены есть. Просто есть одна веселая последовательность действий (и весьма трудноосуществимая), при которой можно получить администраторские полномочия.
    Таки токен не нужно менять при каждом обновлении страницы. Один раз при старте сессии задавать токен - вполне достаточно.
     
  8. Wolfwood

    Wolfwood Активный участник Пользователь

    Баллы:
    88
    А что всё таки на счет этого магазина но для WebMCR?
     
  9. Автор темы
    Toster_tpl

    Toster_tpl Старожил Пользователь

    Баллы:
    153
    Если есть подходящие средства, без вопросов.
    Зачем мне об этом читать? Это второе, что я узнал и как работает, после sql иньекции, когда начинал заниматься взломами лет 5 назад.
    Нет предметов пишет из-за того, что там нет товаров. Кнопочку добавления забыл добавить - http://box4g.hol.es/?do=shop&op=admin&act=items&add=true
    Трудных в csrf нет. Можно получить не только админские права, но и гораздо ценные, вплоть до контроля над сервером, но это уже другая уязвимость.
    Одинаковый токен выдаст ошибку, если открыть другую вкладку.
    А что с ним?
     
  10. Миднайтко

    Миднайтко Старожил Пользователь

    Баллы:
    153
    Ну вот только забыл об этом, когда писал свой шоп для webmcr, да? :)
    CSRF там только часть истории.
    С чего бы? Никто не говорит, что они должны быть одноразовыми.
     
  11. Kela-4D

    Kela-4D Старожил Пользователь

    Баллы:
    143
    Имя в Minecraft:
    Kelatyh
    Не плохо, только не понятно что где!
    Успех!
    Транзакция успешно создана. Для оплаты счета нажмите продолжить
    ии??Как продолжить пополнение?Нажал на кнопку, и ничего..
     
  12. Автор темы
    Toster_tpl

    Toster_tpl Старожил Пользователь

    Баллы:
    153
    Нет, были на то причины.
    Должны быть, т.к. если браузер настроен именно на удаление сессий, после закрытия вкладки, как у меня, например, то сессия дропнется на следующем открытии новой вкладки.
    Оплата отключена, по этому и не работает.
     
  13. Wolfwood

    Wolfwood Активный участник Пользователь

    Баллы:
    88
    Я про то что может быть ты сделаешь этот магазин и под DLE и под WebMCR?
     
  14. Автор темы
    Toster_tpl

    Toster_tpl Старожил Пользователь

    Баллы:
    153
    Если кому-то понадобиться, без проблем.
     
  15. Wolfwood

    Wolfwood Активный участник Пользователь

    Баллы:
    88
    Будет очень круто если сделаешь под WebMCR, ну и скажешь цену заодно.
     
  16. Миднайтко

    Миднайтко Старожил Пользователь

    Баллы:
    153
    Это вообще как? Cookies очищаются после каждого закрытия вкладки?)
     
  17. Alex_Jons

    Alex_Jons Новичок Пользователь

    Баллы:
    6
    Skype:
    CEKPET
    Имя в Minecraft:
    _GRELITEL_
    Хотя я рад что будет теперь нормальный модуль магазина для DLE
    Но если в паблике не будет, это очень плохо...
    Я особо проектами не занимаюсь, но бесплатно магазин хотел бы сделать...
    А не за 2-3к
    Зависит от браузера и его настроек)
     
  18. alexandrage

    alexandrage Старожил Пользователь

    Баллы:
    173
    Тогда все равно же придется поновой авторизовываться :D.
    Или тс просто не догоняет что такое кукисы.
     
  19. Автор темы
    Toster_tpl

    Toster_tpl Старожил Пользователь

    Баллы:
    153
    Нет, речь шла только о сессиях. Использовать куки для этого не безопасно. Можно получить их через тот же csrf из фрейма и затем уже получать доступ куда хочешь.
    Нет, я предпочитаю одноразовые сессии. Это безопаснее, как по мне.
    Впрочем, эта тема не для того, чтобы обсуждать защиту webmcr, здесь "чуть-чуть" другая тема. Завязываем))
    В паблике его точно не будет. Мне его продавать не особо хочется, не то что уж в паблик кидать.
    В интернетах полно хороших модулей для dle под rust и minecraft... А, нет, ошибся, не полно))
    - Добавил кнопочки на добавление серверов/категорий/товаров при их отсутствии.
    - Добавил подтверждение на все действия удаления.
     
  20. mamayadesu

    mamayadesu Старожил Пользователь

    Баллы:
    103
    Skype:
    Mamayadesu
    Имя в Minecraft:
    Mamayadesu
    Drupal тоже норм.
     

Поделиться этой страницей