Ausnutzung von Bugs und mein Hilfsangebot
- Ersteller BMSammler
- Erstellt am
Id329
Well-known member
- 28 April 2006
- 320
- 29
Hättest ruhig die Quelle mit angeben können 
Immerhin hab ich es dir mal anvertraut
Aber ich hatte das schonmal auf dieser Seite erwähnt...
https://www.klamm.de/forum/showpost.php?p=3874134&postcount=67
oder sowas
Eine überprüfung von Einsätze < 0 (wie im beispiel in der seite von oben) sollten vermieden werden da diese eine neue Lücke öffnet die man genausoleicht nutzen könnte. Man sollte schon erfahrende Progger an diesen Sachen schrauben lassen. Gibt es die überhaupt noch? Scheint ja nicht so wenn schon mehr als 120 Games Bugs aufweisen...
Die richtige Lösung hat Bastie noch dazugeschrieben.
https://www.klamm.de/forum/showpost.php?p=3876196&postcount=69
Sollte natürlich auch an der richtigen Stelle eingebaut werden, sonst nützt die ganze Anlage nichts
Außerdem sollte man nicht nur das einbauen sondern gleich den ganzen Slotcode überprüfen lassen, weil ich schon Slots gesehen habe wo ich mir dachte dieser wurde durch anderen einfach zusammenkopiert... da war die Einsatz variable durch 8 weitere Varibalen gleich eingebaut.
Würde mich gerne zur verfügung stellen, dafür sollte man aber wenigstens 500.000 Lose fürs SLT spenden. Schreibt mir eine PN dann werden ich die meisten Slots überprüfen. Dieses Angebot gilt nur so lange bis ich mal Stop sage, hab immerhin auch anderes in mein Leben zu tun
Immerhin hab ich es dir mal anvertraut
Aber ich hatte das schonmal auf dieser Seite erwähnt...
https://www.klamm.de/forum/showpost.php?p=3874134&postcount=67
PHP:
if($pool < 0) die("&meldung=Manipulationsversuch!&");oder sowas
PHP:
if($einsatz < 0) {
echo"status=Manipulationversuch!";
exit();
}Eine überprüfung von Einsätze < 0 (wie im beispiel in der seite von oben) sollten vermieden werden da diese eine neue Lücke öffnet die man genausoleicht nutzen könnte. Man sollte schon erfahrende Progger an diesen Sachen schrauben lassen. Gibt es die überhaupt noch? Scheint ja nicht so wenn schon mehr als 120 Games Bugs aufweisen...
Die richtige Lösung hat Bastie noch dazugeschrieben.
https://www.klamm.de/forum/showpost.php?p=3876196&postcount=69
PHP:
$pool = $_GET['einsatz']; // Einsatz aus _GET holen
$pools = Array(1000,2000,5000,10000); // Gueltige Einsaetze
if(!in_array($pool,$pools)) die("Ungültiger Einsatz :P"); // Sofortiger Abbruch, wenn Einsatz ungueltig istSollte natürlich auch an der richtigen Stelle eingebaut werden, sonst nützt die ganze Anlage nichts
Außerdem sollte man nicht nur das einbauen sondern gleich den ganzen Slotcode überprüfen lassen, weil ich schon Slots gesehen habe wo ich mir dachte dieser wurde durch anderen einfach zusammenkopiert... da war die Einsatz variable durch 8 weitere Varibalen gleich eingebaut.Würde mich gerne zur verfügung stellen, dafür sollte man aber wenigstens 500.000 Lose fürs SLT spenden. Schreibt mir eine PN dann werden ich die meisten Slots überprüfen. Dieses Angebot gilt nur so lange bis ich mal Stop sage, hab immerhin auch anderes in mein Leben zu tun
Zuletzt bearbeitet:
BMSammler
Briefmarkensammler
- 6 Mai 2006
- 4.950
- 789
Hallo großer Meister
war gestern in Zeitdruck, wollte ja eh eigentlich nix mehr prüfen dieses Jahr. Die Sache mit dem Dou.... hat mich aber dann gestern doch interessiert.
Jep dein Hinweis war Grundlage das ich das Problem verstehen konnte. In dem Slot ist keine die() drin gewesen. Ich kam gestern nicht mehr dazu zu prüfen ob das die () einen Abbruch gebracht hätte, oder man das dennoch mit dem Zusatztrick aus dem Rennen nimmt. Hab den Slot leider selber nicht, deshalb konnt ich es noch nicht testen.
Jep die Absicherung mit dem Array was Bastie gepostet hat funzt, so wie auch die einfache Absicherung der Einsätze funzt.
z.B.
Oder manche Progger verwenden die Methode bei falschem Einsatz automatisch kleinster erlaubter Einsatz. Oder es kommt abs zum Einsatz. Es gibt also durchaus einige Methoden die Spieleinsätze sicher machen, sie müssen nur wie du geschrieben hast natürlich an der richtigen Stelle eingebaut sein und der Code darf keine Folgefehler haben.
Übrigens lustig, der Bug an genau dem Slot wurde Anfang 2007 bereits im Designerscripteforum angesprochen - da hat sich in 2 Jahren ja sau viel getan *lol*.
LG Laemmi
war gestern in Zeitdruck, wollte ja eh eigentlich nix mehr prüfen dieses Jahr. Die Sache mit dem Dou.... hat mich aber dann gestern doch interessiert.
Jep dein Hinweis war Grundlage das ich das Problem verstehen konnte. In dem Slot ist keine die() drin gewesen. Ich kam gestern nicht mehr dazu zu prüfen ob das die () einen Abbruch gebracht hätte, oder man das dennoch mit dem Zusatztrick aus dem Rennen nimmt. Hab den Slot leider selber nicht, deshalb konnt ich es noch nicht testen.
Jep die Absicherung mit dem Array was Bastie gepostet hat funzt, so wie auch die einfache Absicherung der Einsätze funzt.
z.B.
HTML:
if ($einsatz != 1000 && $einsatz != 5000 && $einsatz != 10000 && $einsatz != 25000 && $einsatz != 50000 && $einsatz != 100000) die();Oder manche Progger verwenden die Methode bei falschem Einsatz automatisch kleinster erlaubter Einsatz. Oder es kommt abs zum Einsatz. Es gibt also durchaus einige Methoden die Spieleinsätze sicher machen, sie müssen nur wie du geschrieben hast natürlich an der richtigen Stelle eingebaut sein und der Code darf keine Folgefehler haben.
Übrigens lustig, der Bug an genau dem Slot wurde Anfang 2007 bereits im Designerscripteforum angesprochen - da hat sich in 2 Jahren ja sau viel getan *lol*.
LG Laemmi
Id329
Well-known member
- 28 April 2006
- 320
- 29
Toll oder was nach 2 Jahren geschafft wurde?
Nicht jeder hat ein VMS und deswegen auch nicht in Designerscripteforum angemeldet. Glaube der Thread war auch schwer zu finden.
Ja es könnte auch eine weiter Lösung sein
Diese würde jeden Einsatz einzeln überprüfen, diese möglichkeit sollte nur bei den Slots eingebaut werden die Feste Einsätze enthalten, die nicht veränderbar sind.
Nicht jeder hat ein VMS und deswegen auch nicht in Designerscripteforum angemeldet. Glaube der Thread war auch schwer zu finden.
Ja es könnte auch eine weiter Lösung sein
PHP:
if (($einsatz != 25000) && ($einsatz != 50000) && ($einsatz != 100000) && ($einsatz != 250000) && ($einsatz != 500000) && ($einsatz != 1000000))
{
echo"status=Manipulation";
exit();
}Diese würde jeden Einsatz einzeln überprüfen, diese möglichkeit sollte nur bei den Slots eingebaut werden die Feste Einsätze enthalten, die nicht veränderbar sind.
Zuletzt bearbeitet:
Benutzer-2472
abgemeldet
- 1 Mai 2006
- 32.694
- 1.621
Du wirst den Fehler auch in 2 weiteren Jahren wieder finden, da ein großer Teil der Webmaster nur "leitet" aber vom Quellcode keine Ahnung hat und daher auf andere angewiesen ist. @OT
@Topic:
Ich bevorzuge eine Kombination, bei der abgesichert und zeitgleich gemeldet wird. Derzeit hab ich in meinen Seiten zwei Systeme eingebaut, ich muss mal schauen was auf die Dauer besser ist :/
Einmal gibts ne Mail direkt an mich, bzw ne SMS.
Das andere Mail wird in der DB der Versuch geloggt und beim zweiten Mal der Account automatisch gesperrt.
Sind ja auch "nur" ein paar Zeilen, aber dann weiß man wenigstens wer so seine Touren versucht.
Nachtrag @ Id329
So würde ich das nicht prüfen. Gerade bei Slots mit veränderbarem Einsatz im Admin geht das schief, sobald die Einsätze geändert werden. Die gültigen Einsätze sollte man also aus geprüften Variablen holen und nicht fest in den Quellcode hauen.
Id329
Well-known member
- 28 April 2006
- 320
- 29
@Cybo
Ganz einfach ist das zu machen, es wird eine Datenbank Tabelle erstellt die automatisch jeden Sloterror speichert. Ich überprüfe grade eine Seite deren Namen ich nicht sagen möchte weil ich nicht weiß ob der Webmaster damit einverstanden wäre. Der Loggt jeden Sloterror ab und kann somit nachverfolgen was der User versuchen wollte zu Manipulieren. Am besten in diesen Codes die das überprüfen den User automatisch sperren lassen, falls dieser sowas versuchen sollte zu Manipulieren.
Eine Lösung zu VMS seiten schreib ich euch gleich mal hier rein.
edit:
@Cybos Nachtrag:
Ja stimmt, bei Slots wo die Einsätze Variable zu verstellen sind sollte man diese Lösung meiden und diese aus einen Array lesen.
Ganz einfach ist das zu machen, es wird eine Datenbank Tabelle erstellt die automatisch jeden Sloterror speichert. Ich überprüfe grade eine Seite deren Namen ich nicht sagen möchte weil ich nicht weiß ob der Webmaster damit einverstanden wäre. Der Loggt jeden Sloterror ab und kann somit nachverfolgen was der User versuchen wollte zu Manipulieren. Am besten in diesen Codes die das überprüfen den User automatisch sperren lassen, falls dieser sowas versuchen sollte zu Manipulieren.
Eine Lösung zu VMS seiten schreib ich euch gleich mal hier rein.
edit:
@Cybos Nachtrag:
Ja stimmt, bei Slots wo die Einsätze Variable zu verstellen sind sollte man diese Lösung meiden und diese aus einen Array lesen.
Benutzer-2472
abgemeldet
- 1 Mai 2006
- 32.694
- 1.621
Das setzt allerdings voraus, dass der Slot schon sauber geschrieben wurde, oder nachträglich alle möglichen Arten von Fehlern abgefangen und mit speziellem Fehlercode ausgegeben werden. Für eine Neuprogrammierung etvl. ganz interessant, aber für bestehende Slots reicht mir ein allgemeiner Manipulations-Versuch, der den User sperrt und das Guthaben einfriert.
Dann ist alles klar, ich habs nur gestern leider schon gesehen, dass jemand Einsätze fest per copy'n'paste übernommen hatte, der Slot aber ganz anders eingestellt war, daher wollte ich es hier noch mal in die Runde werfen.
BMSammler
Briefmarkensammler
- 6 Mai 2006
- 4.950
- 789
Hallo,
@Cybo, also wenn jemand so pfiffig ist und einfach aus einem Beispiel die Werte kopiert und bei sich einbaut, naja sorry aber der sollte lieber die Finger ganz von den Scripten weglassen.
Klar wenn man ein Game hat wo man im Adminbereich die Werte ändern kann dann muss man es bei der Variante auch in der Gamedatei. Aber wie oft ändert man an einem Slot die Einsätze? 1 mal im Jahr?
Also da hab ich kein Problem damit die Werte dann auch in der Gamedatei anzupassen, das dauert, sagen wir 30 Sekunden. Und wie gesagt wer da nicht klarkommt, Finger weg und bei Lose4Scripts Hilfe rufen
Was die Variante angeht, mit User automatisch sperren, das wäre interessant. Ein Webmaster den ich kenne hat das bei sich auch schon eingebaut, ein anderer testet es gerade. Wenn ihr da mal ne Lösung habt die ihr auch weitergebt, da hab ich ganz lange Ohren
LG Laemmi
@Cybo, also wenn jemand so pfiffig ist und einfach aus einem Beispiel die Werte kopiert und bei sich einbaut, naja sorry aber der sollte lieber die Finger ganz von den Scripten weglassen.
Klar wenn man ein Game hat wo man im Adminbereich die Werte ändern kann dann muss man es bei der Variante auch in der Gamedatei. Aber wie oft ändert man an einem Slot die Einsätze? 1 mal im Jahr?
Also da hab ich kein Problem damit die Werte dann auch in der Gamedatei anzupassen, das dauert, sagen wir 30 Sekunden. Und wie gesagt wer da nicht klarkommt, Finger weg und bei Lose4Scripts Hilfe rufen
Was die Variante angeht, mit User automatisch sperren, das wäre interessant. Ein Webmaster den ich kenne hat das bei sich auch schon eingebaut, ein anderer testet es gerade. Wenn ihr da mal ne Lösung habt die ihr auch weitergebt, da hab ich ganz lange Ohren
LG Laemmi
schaut euch mal folgenden thread und das Datum an
https://www.klamm.de/forum/showthread.php?t=64663&highlight=webmaster89
https://www.klamm.de/forum/showthread.php?t=64663&highlight=webmaster89
Id329
Well-known member
- 28 April 2006
- 320
- 29
schaut euch mal folgenden thread und das Datum an
https://www.klamm.de/forum/showthread.php?t=64663&highlight=webmaster89
Davon reden wir doch auch
Nur ist das auch bei Designerscripteforum.
da muss ich doch mal altes aus dem Vorjahr wecken, das droht im Winterschlaf zubleibenkann Dir nicht ganz folgen
a) müssen die Betreiber von Klamm.de erst dann Auskunft geben, wenn sie den netten *Brief* bekommmen von der StA und dann auch nur seitens der StA
b) ist er doch gesperrt gewesen und hat jetzt wohl zurückgezahlt
{Ironie an}nach 1 Std waren alle erheblichen Informationen ausgeklügelt- reicht das nicht
{Ironie aus}c) ist es seltsam, dass Du den Versuch und den tatsächlichen Vorgang zusammenwirfst, dass sind doch dann mehrere Tatbestände nach StGB
d) solltest Du mal schauen gehen, wer hier Betreiber ist, denn Mone ist es ganz sicher nicht, sie ist nur leider die Ober-Mod hier und bekommt von allen Seiten Haue, ob sie tatsächlich ALLES entscheiden darf, sollte mal dahingestellt bleiben
Ja immer und immer wiederZitat von Mone
Ihr seid ja für totschlagen
weil Ihr es zulasst, dass zB. ein User sich mit 3-4 Accounts hier und bei Klamm.de anmeldet, Lose ergaunert, sie von Account 1-zu 2-zu Account 3 und 4 schiebt, die ergaunerten Lose dann verkauft (und Ihr wisst ja an wen, steht ja in der Transaktionsliste am Ende) und IHR (die ja doch verantwortlich seid für die Seite Klamm.de) es bis heute nicht mal schafft, offensichtliche Betrüger zu sperren
und sich somit die *betrogenen* User VerA...t fühlen ... und es immer und immer wieder passiert
egal wie oft man Euch anschreibt oder nachfragt, immer wieder passieren diese Gaunereien und von Eurer Seite passiert eben nicht viel 
bis gar nichts (s. Dreigrad) Da habt Ihr leider mitgeholfen diese *TotSchlag*-Mentalität mit aufzubauen und zu nähren
auch Admins haben die gleichen Rechte und Pflichten der AGBs der anderen Seiten, denn auf denen sind sie nur User, wie wir
was Dich damit automatisch vom Himmel hebt und straffähig macht- lerne bitte Dich in Schrift und Bild auszudrücken, damit man Dich lesen kann, ohne Falten zubekommen
danke- geht alles alle etwas an, denn diese Mentalität *nichtshören-nichtssagen-nichtswissen* ist das Hauptproblem in unserer netten Paid4Szene... wenn was passiert, heulen alle kurz rum, doch niemand weiss angeblich irgendetwas, dabei ist der Berg voll mit Wissen
überall- von daher, freut es mich immer, wenn man überhaupt irgendetwas erfährt
- Losegier hat nichts damit zu tun? warum macht der Webbie von Losegier dann so etwas ?
Ein Admin schrieb mir mal, er möchte keinen Krieg zwischen den WebbiesZitat von irgendwem hier im Thread..die Admins zusammenhalten
klasse, dann mache ich also eine Seite auf, bin ja dann Webbie/Admin und automatisch über jeden Zweifel erhaben und darf mich zu jeder Bugusing oder Straftat hinreissen lassen? na dann her mit einer Seite, die für mich genau richtig wäre
Zuletzt bearbeitet: