Монетизация форума. API Робокассы 1.0.5.1

[Обжигающий Иней]

Насколько я знаю что у этих двух плагинов 1 файл robokassa.php, и при добавление 1-го из них, нужно вновь редактировать ключи в этом файле. Ну как то так.

Верно. Магазин та у меня один, следовательно ключи идентичны. Или для 2-го модуля нужен 2 магазин? Ммм?

 

[hakypuhbiu]

Или для 2-го модуля нужен 2 магазин?

Нет, просто если вы ставили 1 плагин на другой отредактируйте ключи 1 и 2 заново, если потребуется и название идентификатор магазина тоже в самом файле робокассы.

 

[Обжигающий Иней]

Нет, просто если вы ставили 1 плагин на другой отредактируйте ключи 1 и 2 заново, если потребуется и название идентификатор магазина тоже в самом файле робокассы.

Да вроде делал.

робокасса:
$mrh_login = "Идентификатор магазина";
$mrh_pass1 = "Пароль 1";

robopayment_callback.php:
$mrh_pass2 = "Пароль 2";

Что ещё где, бес понятия.

Перезалил файлы с модуля по переведу в плю группу, теперь она работает, а плагин пожертвований нет :-)
Нету блока переходов по пожертвованиям и т.д.

 

[hakypuhbiu]

Нету блока переходов по пожертвованиям и т.д.

Я оба модуля не ставил. Так как изначально там было 2 одинаковых файла робокассы и я подумал что могут быть какие нибудь проблемы. Например такие как у Вас начались.

 

[Обжигающий Иней]

Я оба модуля не ставил. Так как изначально там было 2 одинаковых файла робокассы и я подумал что могут быть какие нибудь проблемы. Например такие как у Вас начались.

Да я чёт в попыхах и не подумал, мол 2-й модуль как дополнение :-)
Разве никого не интересовал данный вопрос? Или все довольствовались только 1 модулем? Наверняка кто-то уже подправил, свети в свет, халява приди :)

 

[Len]

Спасибо)) все отлично работает! Только я указал идентификатор магазина вместо логина, с логином не работало

 

[Gordon Freeman]

Хороший плагин. Большое спасибо автору. У меня возник вопрос: Робокасса работает только в России?

 

[HellFire]

Хороший плагин. Большое спасибо автору. У меня возник вопрос: Робокасса работает только в России?

везде где есть интернет=)

 

[nck-log]

Разве никого не интересовал данный вопрос? Или все довольствовались только 1 модулем? Наверняка кто-то уже подправил, свети в свет, халява приди :-)

Пиши в личку, помогу настроить чтоб оба плагина работали.

У меня вопрос к Гуру форума. Интересует как сделать чтоб после оплаты пользователя ему не выдавалось автоматом повышение? Чтоб было написано типа мы проверим платеж и повысим вам ну типа этого. Так как простым перехватом данных через браузер mozilla firefox , с дополнением tamper data , можно купить например VIP группу всего за 1 руль. Выручайте.

 

[Exile]

Так как простым перехватом данных через браузер mozilla firefox , с дополнением tamper data , можно купить например VIP группу всего за 1 руль. Выручайте.

Нельзя ее купить за 1 рубль. Все запросы подписываются ключом самой Робокассой и не зная этот ключ повышение не будет применено. Да, можно оплатить повышение на рубль, но ключ там не сойдется и форум напишет ошибку.

 

[nck-log]

Нельзя ее купить за 1 рубль. Все запросы подписываются ключом самой Робокассой и не зная этот ключ повышение не будет применено. Да, можно оплатить повышение на рубль, но ключ там не сойдется и форум напишет ошибку.

Если бы у себя не попробывал так сделать , то и не задавал бы этот вовпрос.Перехват идет сразу в запросе еще до робокассы.

 

[Malezha]

Значит у вас тупо сперли ключ для подписи.

 

[nck-log]

Значит у вас тупо сперли ключ для подписи.

Смотрите, захожу на страницу сайту.ру/account/upgrades включаю перехват , нажимаю приобрести повышение , и сразу меняю например повышение стоит 2000 на 1 меняю и все. платеж проходит и форум радуется что платеж прошел и меняется группа пользователя на ту что он купил.

 

[Exile]

Смотрите, захожу на страницу сайту.ру/account/upgrades включаю перехват , нажимаю приобрести повышение , и сразу меняю например повышение стоит 2000 на 1 меняю и все. платеж проходит и форум радуется что платеж прошел и меняется группа пользователя на ту что он купил.

Давайте не вводить людей в заблуждение, а? Так как подобная уязвимость может считаться критической, специально время и пару копеек выделил на ее проверку.

Начнем.

1) Вхожу в повышение прав у себя на форуме и выбираю самое дорогое (чего уж скупиться, распродажа):



2) Перехватываю запрос Tamper Data и правлю сумму на три рубля (вот жид какой...):



3) Смотрите, кажется сработало! И мой форум, и Робокасса, и Тиньков, и снова мой форум думают, что я все купил за 3 рубля!



4) Хм... Но реклама-то у меня на форуме почему-то не пропала. Давайте-ка в логи повышений посмотрим:



А вот и проверка сработала. Сумма-то, и близко на 2500 не походит. За 3 рубля не снятие рекламы, а пинок под зад, когда журнале транзакций Робокассы внимательный админ увидит нашего юного хакера, который так решил себе повышения по дешевке купить. Ник-то там есть:



А потом-будет что-то типа такого:

 

[Malezha]

Exile, а как у вас вообще получилось дойти до момента оплаты? У робокассы есть

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

- хеш передаваемых значений. Меняю сумму меняться и хеш. Робокасса должна была выбросить ошибку еще на первоначальном этапе. Если она этого не делает, то это просто эпик вин - куча мелочи от имбо хакеров :-D

 

[Exile]

Malezha, подозреваю потому, что API в моде как такового и нет. Вся работа через

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

- а параметры через $_POST даже без фильтрации идут. Надо переписывать нормально, но в данном случае не критично - повышения все равно не будет. Что не отменяет кривизны мода как такового.

Вот метод по которому этот аддон сделан:

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

- назвать это API язык не поворачивается.

 

[Malezha]

Exile, так там все равно нужен хеш (SignatureValue). Нужно будет самому поглядеть, что за плагин это такой.

 

[Exile]

Malezha, посмотрел.

Берем сумму полагаясь на пользователя:

    $out_summ = $_POST['OutSum'];

И считаем контрольную сумму из нее:

    $crc      = md5("$mrh_login:$out_summ:$inv_id:$mrh_pass1:Shp_item=$shp_item");

А что самое интересное - все это в пределах одного файла. Поэтому и контрольная сумма, что бы мы не подставили, всегда верна.

 

[Malezha]

Exile, думаю стоит написать автору о такой очевидной дырке.

 

[Exile]

Malezha, думаю автор забил на поддержку этого дополнения... очень давно.

И вообще, советую всем переходить на этот плагин и эту платежную систему: https://xenforo.info/threads/Платны...-оплаты-Единый-кошелек.9373/page-2#post-83909 - не идет ни в какое сравнение по качеству кода, простоте настройке и в целом простоте использования Робокассе.