3 Antworten in diesem Thema

[h04x]

Grüße,

 

hatte das Script für eine kleine Zeit genutzt, da ich keine Verwendung mehr habe stelle ich es euch zur Verfügung.

Der Checkout funktioniert über die Blockchain Receive Api (v1 ohne key), Script ist auf Bootstrap aufgebaut.

 

 

Anbei sind die Serverfiles sowie die nötige Datenbank unter "datenbank.sql", angepasst werden müssen:

config.php  -> Serverdaten, BTC Empfangsadresse, Login fürs ACP sowie die Callback Url. 

 

PHP-Curl sowie PHP-GD sind nötig. 

 

Wie immer gilt, Nutzung auf eigene Gefahr. Auf Backdoors, SQLIs, XSS müsst ihr selbst prüfen, das Script wurde an mehreren Stellen schlampig geschrieben und bietet noch Luft nach oben.  

 

 

Download:

Please Login HERE or Register HERE to see this link!

 

 

 

 

-h04x

[A.C.A.B]

Schlampig ...

<?php
if ($dos_protect == 1) {

	/* Kleiner DoS Schutz / kein DDoS Schutz! */
	if (!isset($_SESSION)) {
	        @session_start();
	    }

	    if (@$_SESSION['last_session_request'] > time() - 0.1) {
	        //echo '<meta http-equiv="refresh" content="0;url=http://www.google.de/" />';
	        echo "Zu viele Anfragen auf einmal bitte gedulde dich etwas. Und reloade dann die Page.";
	        exit;
	    }

	@$_SESSION['last_session_request'] = time();
	/* Kleiner DoS Schutz / kein DDoS Schutz! ENDE */
}

if ($sqli_protect == 1) {
	/* Kleiner SQL Injection Schutz  */
	$_GET  = filter_input_array(INPUT_GET, FILTER_SANITIZE_STRING);
	$_POST = filter_input_array(INPUT_POST, FILTER_SANITIZE_STRING);

	$string =  $_SERVER['QUERY_STRING'];

	$pattern = array("union", "table", "from", "where", "''%", "OR%", "cookie", "coockie", "concat", "exec", "shell", "wget", "/**/", "0x3a", "null", "BUN", "S@BUN", "char");

		$i = 0;

		while ($i < count($pattern)) {

			if (strpos(strtolower($string), $pattern[$i]) !== false) {
				echo '<meta http-equiv="refresh" content="0; URL=index.php" /> '; 
				exit;
			}
			$i++;
		}
	/* Kleiner SQL Injection Schutz ENDE */
}
?>

Eher witzhaft !

[h04x]

Schlampig ...

 

Eher witzhaft !

 

Einen Kauf empfehle ich euch auch nicht, bei der v2 vom Script gab es zbs. auch einige XSS Lücken die man selbst fixxen musste. 

Bearbeitet von h04x, 10 May 2016 - 08:14 Uhr.

[A.C.A.B]

Darf ich dich freundlich nach einem Privaten Release fragen, würde mir das gerne einmal ansehen wenn nichts dagegen spricht.

 

Was mir auch in dem ganzen Script aufgefallen ist, es ist zwar überall ein if($_GET ...) aber ers wird NIRGENDS gecheckt ob ein isset vorhanden ist. Wer das benutzt, kann sich begraben gehen!

 

Note an den Coder :

 

if (isset($_GET = filter_input_array(INPUT_GET, FILTER_SANITIZE_STRING)))

{

    echo 'Dies funktioniert so leider nicht!';

}

 

if (isset($_POST = filter_input_array(INPUT_POST, FILTER_SANITIZE_STRING))

{

    echo 'Hier ein weiterer Text blabla';

}

 

Sollte doch eigentlich DIREKT abgesichert werden und nicht in einer sogenannten "" Protection.php "" ...

Bearbeitet von A.C.A.B, 10 May 2016 - 14:36 Uhr.