MySQL „hackinimas“ | Padėjusiam sumokėsiu

[ES.^]

Esi pasidaręs, kad prie mysql galima būtų prisijungt tik iš tavo IP?

Ne, ir tai ne problemos sprendimas.

[BloodTiger]

Esi pasidaręs, kad prie mysql galima būtų prisijungt tik iš tavo IP?

Nebjuokink žmonių.

[Erebulikas]

Ne, ir tai ne problemos sprendimas.

Jei ne per phpmyadmina, tada SQL injection. Tikrink visus saugojimus, kur iškart įrašomas koks nors žaidėjo įvestas tekstas. Visų kintamųjų "printf" pasidaryk ir žiūrėk. PHP failuose irgi kurk loga, įrašyk visas siunčiamas užklausas ir lauk kol vėl užsidės.

Redaguota Lapkričio 25, 2014, nario Sp1LT

[ES.^]

Jei ne per phpmyadmina, tada SQL injection. Tikrink visus saugojimus, kur iškart įrašomas koks nors žaidėjo įvestas tekstas. Visų kintamųjų "printf" pasidaryk ir žiūrėk. PHP failuose irgi kurk loga, įrašyk visas siunčiamas užklausas ir lauk kol vėl užsidės.

Serveryje viskas gerai. Tai aišku, kad čia SQL injection. Log'as įjunktas. Nemanau, kad jis toks durnas ir taip lengvai pasigaus.

[sancio_]

Jei ne per phpmyadmina, tada SQL injection. Tikrink visus saugojimus, kur iškart įrašomas koks nors žaidėjo įvestas tekstas. Visų kintamųjų "printf" pasidaryk ir žiūrėk. PHP failuose irgi kurk loga, įrašyk visas siunčiamas užklausas ir lauk kol vėl užsidės.

captain obvious

Kaip ir sakiau, ta kreditų sistemą reikia keist, kadangi pas Reamį jau kaip supratau rankos ne iš tos vietos.

[Gagiukas]

Supratau, dėkui. Pabandysiu, ant dienų atrašysiu.

P.S:

Kokie simboliai užklausoje gali išsiųsti SQL injekciją? Tik „'“? Pas mane praktiškai visur paprasti, normalus tekstai ir visur yra apsaugos nuo „'“ simbolio. Kažkaip abejoju, kad Justo pasiūlymas pakeisti visus '%s' į '%e' padės. Jeigu net pavyktu išsiųst tą simbolį tai žmogus negautu jokio rezultato, tiesiog išmestu MySQL error. Kiek žiūrėjau log'ą, ten absoliučiai nieko blogo ar panašaus neradau. Nesenai rašiau žmogui kuris naujina mano kreditų sistema (tinklapyje), jis sakė, kad sistema nesaugi. Tai gal problema ten o ne mod'e?

% ir ' - gali būti. 

[ES.^]

% ir ' - gali būti.

Nea

[Gagiukas]

Nea

Turbūt ne taip supratai.

 

Palaušt serverį galima ' ir % simboliais.

[Funkis]

Turbūt ne taip supratai.

 

Palaušt serverį galima ' ir % simboliais.

eik miegot gal jau

[Gagiukas]

eik miegot gal jau

Priimk į skypę. Nuobodu

Redaguota Lapkričio 29, 2014, nario illusion

[Expert*]

Pabandyk patikrinti kas panašiu laiku turi the same pinigų sumą.

Turiu vieną versiją, kodėl tai atsitinka tačiau kol nepatikrinau nenoriu nieko sakyti, kadangi jai tai tiesa, visi serveriai gali būti "pavojuje". Tačiau kita vertus, reikėtų tai išdalinti tik unikaliesiems projektas, o GRP, sargai ir Lmgai tegul dūsta... 

Kagi, nenorėjau, kad tai būtų tiesa, bet tai tiesa. Dabar nelabai noriu kanors sakyti nes tokiu atvėju bus labai daug problemų daugumoje projektų. Tačiau visi kas turit mysql ruoškitės prie to padirbėti... Jai tvarkingai tvarkėt kodą tereikės pasitikrinti, bet kas su kodo tvarkymu nedraugaujat, teks padirbėti.

Redaguota Lapkričio 29, 2014, nario Expert*

[aLL*]

Pabandyk patikrinti kas panašiu laiku turi the same pinigų sumą.

Turiu vieną versiją, kodėl tai atsitinka tačiau kol nepatikrinau nenoriu nieko sakyti, kadangi jai tai tiesa, visi serveriai gali būti "pavojuje". Tačiau kita vertus, reikėtų tai išdalinti tik unikaliesiems projektas, o GRP, sargai ir Lmgai tegul dūsta... 

Kagi, nenorėjau, kad tai būtų tiesa, bet tai tiesa. Dabar nelabai noriu kanors sakyti nes tokiu atvėju bus labai daug problemų daugumoje projektų. Tačiau visi kas turit mysql ruoškitės prie to padirbėti... Jai tvarkingai tvarkėt kodą tereikės pasitikrinti, bet kas su kodo tvarkymu nedraugaujat, teks padirbėti.

Ebola?

[it.programavimas]

Ar tavo kintamuosiuose nėra slapukų? ar slaptų funkcijų tokiu kaip Pickupas užeini ir parodo Duombazės prisijungimą, šitokiu bajerių mačiau eSFG.LT projekto serveryje Medžioklės saloje, krc nueini už akmenukų, tiksliau nuplauki randi širdutės tipo pasihealinimo pickupą:DDD o ten ant jo užejus išmeta GUI Langą su visu 100 procentiniu prisijungimu prie pagrindinės serverio DB :DDDD krč net paprastas žaidėjas ant jo užėjas gautų pilną prieeigą :DDDDD Siūlyčiau peržvelgti visą serverio kodą: ten kur nusidefinines tarkim #define SQL_HOST "localhost"  #define SQL_USER "user" #define SQL_PASS "password123" #define SQL_DB "serverdb"   dažniausiai iš komandos narių atsitinka taip: vienas susikuria pickupą ant kurio užėjus išmestų GUI tarkim:    ShowPlayerDialog(playerid, DG_INFORMACIJA, "Paslaugų Informacija", "Paslaugų pirkimas smsu prieinamas visoje Lietuvoje išsiuntus SMS su tekstu...\n 1. "SQL_HOST"\n 2. "SQL_USER"\n 3. "SQL_DB"\n 4. "SQL_PASS".","Supratau","");   

 

Tiesiog pasitikrink serverio skriptą ar nėra tokių prikolų nes jei yra projektas gali sužlugti per kelias minutes. Patarimas peržvelk viską ir pasakysi ar ką radai nes eSFG.LT serveryje tokių dalykų pilna prikišta visur.

[Expert*]

Ebola?

Nuo ebolos miršta mažiau žmonių nei nuo slogos.

 

 

Ar tavo kintamuosiuose nėra slapukų? ar slaptų funkcijų tokiu kaip Pickupas užeini ir parodo Duombazės prisijungimą, šitokiu bajerių mačiau eSFG.LT projekto serveryje Medžioklės saloje, krc nueini už akmenukų, tiksliau nuplauki randi širdutės tipo pasihealinimo pickupą:DDD o ten ant jo užejus išmeta GUI Langą su visu 100 procentiniu prisijungimu prie pagrindinės serverio DB :DDDD krč net paprastas žaidėjas ant jo užėjas gautų pilną prieeigą :DDDDD Siūlyčiau peržvelgti visą serverio kodą: ten kur nusidefinines tarkim #define SQL_HOST "localhost"  #define SQL_USER "user" #define SQL_PASS "password123" #define SQL_DB "serverdb"   dažniausiai iš komandos narių atsitinka taip: vienas susikuria pickupą ant kurio užėjus išmestų GUI tarkim:    ShowPlayerDialog(playerid, DG_INFORMACIJA, "Paslaugų Informacija", "Paslaugų pirkimas smsu prieinamas visoje Lietuvoje išsiuntus SMS su tekstu...\n 1. "SQL_HOST"\n 2. "SQL_USER"\n 3. "SQL_DB"\n 4. "SQL_PASS".","Supratau","");   

 

Tiesiog pasitikrink serverio skriptą ar nėra tokių prikolų nes jei yra projektas gali sužlugti per kelias minutes. Patarimas peržvelk viską ir pasakysi ar ką radai nes eSFG.LT serveryje tokių dalykų pilna prikišta visur.

Kaip ir sakė, būtų padares kanors rimčiau.

[ES.^]

Turbūt ne taip supratai.

 

Palaušt serverį galima ' ir % simboliais.

Normaliai supratau, yra apsaugos nuo to.

 

Ar tavo kintamuosiuose nėra slapukų? ar slaptų funkcijų tokiu kaip Pickupas užeini ir parodo Duombazės prisijungimą, šitokiu bajerių mačiau eSFG.LT projekto serveryje Medžioklės saloje, krc nueini už akmenukų, tiksliau nuplauki randi širdutės tipo pasihealinimo pickupą:DDD o ten ant jo užejus išmeta GUI Langą su visu 100 procentiniu prisijungimu prie pagrindinės serverio DB :DDDD krč net paprastas žaidėjas ant jo užėjas gautų pilną prieeigą :DDDDD Siūlyčiau peržvelgti visą serverio kodą: ten kur nusidefinines tarkim #define SQL_HOST "localhost"  #define SQL_USER "user" #define SQL_PASS "password123" #define SQL_DB "serverdb"   dažniausiai iš komandos narių atsitinka taip: vienas susikuria pickupą ant kurio užėjus išmestų GUI tarkim:    ShowPlayerDialog(playerid, DG_INFORMACIJA, "Paslaugų Informacija", "Paslaugų pirkimas smsu prieinamas visoje Lietuvoje išsiuntus SMS su tekstu...\n 1. "SQL_HOST"\n 2. "SQL_USER"\n 3. "SQL_DB"\n 4. "SQL_PASS".","Supratau","");   

 

Tiesiog pasitikrink serverio skriptą ar nėra tokių prikolų nes jei yra projektas gali sužlugti per kelias minutes. Patarimas peržvelk viską ir pasakysi ar ką radai nes eSFG.LT serveryje tokių dalykų pilna prikišta visur.

Be šansų.

------------------------

Padėjusiam sumokėsiu 50 LTL.

Redaguota Gruodžio 1, 2014, nario ES.^

[sancio_]

Aš jau visa galvą susukau, nebesuprantu bajerių. 

[Žilvinas.]

Sql injekcija, daugiau niekas

[Drye']

Sql injekcija, daugiau niekas

Pritariu. Pasižiūrėk SAMP SQL INJECTION.

[ES.^]

Atrodo sutvarkiau tik nežinau kaip.