- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
В 2023 году Google заблокировал более 170 млн фальшивых отзывов на Картах
Это на 45% больше, чем в 2022 году
Оксана Мамчуева
Как снизить ДРР до 4,38% и повысить продажи с помощью VK Рекламы
Для интернет-магазина инженерных систем
Мария Лосева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Вообще случилась такая история вчера.
Есть у меня сайт, сделал страничку с оплатой через вебмани мерчант, все настроил, все работает.
http://moneybook.at.ua/index/0-4
Вчера получаю перевод на свой кошелек, кто то купил книгу, НО перевод не на 5 вмз, а всего на 1 цент! Как такое могло произойти? Неужили мерчант можно "обойти"? Написал также в тех поддержку, посмотрим что они ответят. Вот вмид "покупателя" .
у вас бага, вот и сделали... стандартная тема с подменой параметров
а где именно баг? Можно по подробнее? Если есть желание детально объяснить - прошу в асю 480797947
fantastikwm, ты скрипт мазага откуда качал?
Обращайтесь к тому, у кого вы скрипт купили\скачали.
Просто страницу, сохранили, руками один параметр поправили и передали эти параметры запросом. А у вас не было проверки отправленной суммы. Тема стара, как мир.
A_B_C, powerful, я устанавливал скрипт, взятый с сайта веб-мани мерчанта . Я не думаю что он содержит ошибки и его можно как то обойти...
kolobok74, даже если и так. В настройках мерчанта для своего вмида - я ставил страницу с которой платят и на какую попадают. Разве сделав оплату на странице www.book.ru - мошенник скопирует код страницы, изменит параметры - но он ведь не сможет адрес страницы задать такой же (www.book.ru)? Или тут я не прав?
Просто страницу, сохранили, руками один параметр поправили и передали эти параметры запросом. А у вас не было проверки отправленной суммы. Тема стара, как мир.
есть расширение Tamper Data для фф.
В нем можно на лету параметры post запросов подменять.
есть расширение Tamper Data для фф.
В нем можно на лету параметры post запросов подменять.
Хм.. тогда получается что на любом сайте с оплатой через мерчант можно подменить параметры? Или если скрипт получше поставить - то можно защититься?
Надо просто мозг врубать:-)) И не пользоваться лажовыми сриптами:-))
Программиста найдите нормального и таких проблем не будет:-))
Сайты о заработке... Сколько же этого дерьма в сети... Не подумайте, что я конкретно против Вас что-то имею, просто достало уже :)
По теме - только что проверил. Действительно параметр подменился легко.
Достаточно было в коде формы исправить value="5", на value="0,01" . И запустить страничку с формой с новыми параметрами у себя с компьютера, даже на хостинг заливать не надо.
Как можно обезопасить:
Сделать проверку по referer'u скажем. Тоесть проверку выполняется ли запрос с Вашего сайта, это должно ограничить возможность подмены суммы.
А еще лучше вообще сделать так чтоб эта форма вызывалась исключительно с Вашего сервера, тоесть код формы был в отельном файлике скажем, который недоступен к простому просмотру.
Хотя тут наверняка есть специлисты которые предложат еще более оптимальное решение.
Кстити что за книги в ехе формате? Даже открывать не стал - удалил сразу от греха подальше.
astronomer добавил 19.04.2009 в 15:51
есть расширение Tamper Data для фф.
В нем можно на лету параметры post запросов подменять.
Все гораздо проще на самом деле, это можно было сделать без всяких расширений