Просмотр полной версии : [Вопрос] Ломают сервер на админки
Sebastyan
19.12.2014, 14:31
У меня стоит мод сервера Адванс РП. Но там есть один минус: если кто то из игроков поставит пароль AdmLevak =6 то он станет админом 6 лвл. Как этого избежать?? мне говорили что нужно сделать так что бы при вводи пароля запрещало символ = или ещё что нибуть... а вот как это сдлать я не знаю. помогите
Salvacore
19.12.2014, 15:42
Посмотри в скрипте команду на выдачу админки.
$continue$
19.12.2014, 16:09
Посмотри в скрипте команду на выдачу админки.
Причём тут команда для выдачи адмнки, если его ломают через диалог.
Показывай диалог через который ломают.
I'm Cobra
19.12.2014, 16:14
if(strfind(inputtext, "=", true) == -1) return SendClientMessage(playerid, COLOR_WHITE, "* Запрещено использовать символ '='!");
Вставь эту проверку в диалог с регистрацией/авторизацией.
$continue$
19.12.2014, 16:20
if(strfind(inputtext, "=", true) == -1) return SendClientMessage(playerid, COLOR_WHITE, "* Запрещено использовать символ '='!");
Вставь эту проверку в диалог с регистрацией/авторизацией.
Ну а я бы так сделал:
for(new i = strlen(inputtext)-1; i != -1; i--)
{
switch(inputtext[i])
{
case '0'..'9', 'а'..'я', 'a'..'z', 'А'..'Я', 'A'..'Z': continue;
default: return // Выводим сообщение что нельзя использовать символы
}
}
Sebastyan
19.12.2014, 20:08
я не совсем понял что я должен сделать...)) тойсть как я понимаю я должен зайти в pawno и там ввести ту записть так?
Или можете мне помочь скайп: minioxid2000
if(strfind(inputtext, "=", true) == -1) return SendClientMessage(playerid, COLOR_WHITE, "* Запрещено использовать символ '='!");
Вставь эту проверку в диалог с регистрацией/авторизацией.
Может всё-таки != ?
I'm Cobra
19.12.2014, 20:37
Может всё-таки != ?
Ай, точно. !=
Sebastyan
19.12.2014, 20:40
я так нечего и не понял... что я должен написатья это понял... а вот куда это написать...)) прошу помогите!
I'm Cobra
19.12.2014, 20:40
я так нечего и не понял... что я должен написатья это понял... а вот куда это написать...)) прошу помогите!
- - - Добавлено - - -
я так нечего и не понял... что я должен написатья это понял... а вот куда это написать...)) прошу помогите!
В диалог с регистрация/авторизацией.
Sebastyan
19.12.2014, 20:43
можите в скайпе объяснить?
- - - Добавлено - - -
можите мне в скайпе обяснить я туплю сильно... minioxid2000
I'm Cobra
19.12.2014, 20:49
можите в скайпе объяснить?
- - - Добавлено - - -
можите мне в скайпе обяснить я туплю сильно... minioxid2000
Найдите в моде диалог с регистрацией и вставьте туда код.
Sebastyan
19.12.2014, 21:01
ещё бы знать где находится этот диалог с регистрацией...
I'm Cobra
19.12.2014, 21:08
ещё бы знать где находится этот диалог с регистрацией...
Жмешь CTRL + F и ищешь слово Авторизация. И ищи до тех пор, пока не наткнешься на диалог с авторизацией.
Sebastyan
19.12.2014, 21:16
а искать в pawno?? я извеняюсь что задаю столько вопросов просто я сильно туплю и не пониаю...
I'm Cobra
19.12.2014, 21:43
а искать в pawno?? я извеняюсь что задаю столько вопросов просто я сильно туплю и не пониаю...
В каком pawno? Мы сейчас о высшей математике говорим, в гугле ищи!
Sebastyan
19.12.2014, 21:55
блин крч я нечего не понял что я должен сделать... но спасибо всем за всё что помогли
$continue$
19.12.2014, 23:39
блин крч я нечего не понял что я должен сделать... но спасибо всем за всё что помогли
Блин, у меня тут рубля в магазине не хватило, что делать? Но спасибо что сходил в магазин
Да и вообще ходил вроде как за хлебом, а зашел в бытовой магазин (Это я про то что ты спрашиваешь, где это делать)
IceShock
20.12.2014, 00:03
Мод на MySQL?
$continue$
20.12.2014, 00:08
Мод на MySQL?
Причем тут MySQL? -_-
IceShock
20.12.2014, 00:21
Причем тут MySQL? -_-
LoL, через MySQL иньекцию можно получить не только админку а что угодно практически если нет защиты. Пример в э-майл для уязвимого сервера -
[email protected]', pAdmin = '6', pDostup = '1
Тебе лишь нужно отгадать имена переменных с бд, а если паблик мод узнаешь, то там дело пары минут скачать дистрибутив и узнать названия. А так же нужную информацию для взлома чего либо(то же кол-во админок чтобы узнать уровень гл. администратора и так далее).
LoL, через MySQL иньекцию можно получить не только админку а что угодно практически если нет защиты. Пример в э-майл для уязвимого сервера -
[email protected]', pAdmin = '6', pDostup = '1
Тебе лишь нужно отгадать имена переменных с бд, а если паблик мод узнаешь, то там дело пары минут скачать дистрибутив и узнать названия. А так же нужную информацию для взлома чего либо(то же кол-во админок чтобы узнать уровень гл. администратора и так далее).
задействовать ограничение на ввод символов. ( оптимальный вариант. )
$continue$
20.12.2014, 00:49
LoL, через MySQL иньекцию можно получить не только админку а что угодно практически если нет защиты. Пример в э-майл для уязвимого сервера -
[email protected]', pAdmin = '6', pDostup = '1
Тебе лишь нужно отгадать имена переменных с бд, а если паблик мод узнаешь, то там дело пары минут скачать дистрибутив и узнать названия. А так же нужную информацию для взлома чего либо(то же кол-во админок чтобы узнать уровень гл. администратора и так далее).
Ну дак и на файлах такое можно, не?
Да и, для кого BlueG изобрел mysql_format?
IceShock
20.12.2014, 00:52
задействовать ограничение на ввод символов. ( оптимальный вариант. )
Мне лично удобнее фильтровать строку на запретные символы через mysql_real_escape_string. Хотя и mysq_format тоже вариант, а это ограничение не гарантирует полной защиты т.к длинна названия переменных может быть везде разной, и ввод э-майла аналогично, как и само кол-во взлома переменных.
- - - Добавлено - - -
Ну дак и на файлах такое можно, не?
Да и, для кого BlueG изобрел mysql_format?
В паблик модах многим пофиг на использование его или mysql_real_escape_string. А по поводу файлов то нет, на них нет иньекций, в ней же символы для SQL запроса. Взлом через что-то другое, явно внутренняя дыра, либо команда хорошо замаскированая, или что-то в диалог забабахали, ищи все ассоции с переменной админки, в том числе и по инклудам, наверняка на что-то наткнешся))
$continue$
20.12.2014, 00:54
Мне лично удобнее фильтровать строку на запретные символы через mysql_real_escape_string. Хотя и mysq_format тоже вариант, а это ограничение не гарантирует полной защиты т.к длинна названия переменных может быть везде разной, и ввод э-майла аналогично, как и само кол-во взлома переменных.
- - - Добавлено - - -
В паблик модах многим пофиг на использование его или mysql_real_escape_string. А по поводу файлах то нет, там взлом через что-то другое явно внутренняя дыра, либо команда хорошо замаскированая, или что-то в диалог забабахали, ищи все ассоции с переменной админки, в том числе и по инклудам, наверняка на что-то наткнешся))
Зачем изобретать велосипед если его уже изобрели?
- - - Добавлено - - -
Мне лично удобнее фильтровать строку на запретные символы через mysql_real_escape_string. Хотя и mysq_format тоже вариант, а это ограничение не гарантирует полной защиты т.к длинна названия переменных может быть везде разной, и ввод э-майла аналогично, как и само кол-во взлома переменных.
- - - Добавлено - - -
В паблик модах многим пофиг на использование его или mysql_real_escape_string. А по поводу файлов то нет, на них нет иньекций, там же символы SQL кода. Взлом через что-то другое, явно внутренняя дыра, либо команда хорошо замаскированая, или что-то в диалог забабахали, ищи все ассоции с переменной админки, в том числе и по инклудам, наверняка на что-то наткнешся))
Дай мне любой мод на файлах, где не стоит сортировка символов в диалоге, и я докажу что такое возможно.
IceShock
20.12.2014, 00:55
Хз, не слышал о таком, чтоб на файлах подобно можно было иньекцию промутить. Там же функции работы с ними же на Pawn`e только а не в плагине.
Sebastyan
20.12.2014, 01:08
я не могу понять о чём вы говорите но буду благодарен если вы мне поможите. я просто новечок вообще нечего не понимаю поэтому и обратился к вам за помощью если вы мне поможите можите мне свой скайп написать или мне свой...
$continue$
20.12.2014, 01:13
я не могу понять о чём вы говорите но буду благодарен если вы мне поможите. я просто новечок вообще нечего не понимаю поэтому и обратился к вам за помощью если вы мне поможите можите мне свой скайп написать или мне свой...
Вам сюда (http://pro-pawn.ru/forumdisplay.php?218-%D0%A1%D1%82%D0%BE%D0%BB-%D0%B7%D0%B0%D0%BA%D0%B0%D0%B7%D0%BE%D0%B2)
Powered by vBulletin® Version 4.2.0 Copyright © 2024 vBulletin Solutions, Inc. All rights reserved. Перевод: zCarot