PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Faken mit der Surfbar



ruegi83
03.01.2007, 03:23
Guten Morgen,

und zwar folgende Darstellung.

Mit erschrecken musst ich heute feststellen, dass es möglich ist, mit der surfbar, die viele Loseseiten nutzen, zu faken.

Man kann die Surfbar auf mehreren Rechnern laufen lassen, ohne das man es mitbekommt.

Das prob daran ist, man kann es als webbie nur schwer feststellen, da trotz allem die Bannerviews bei den sponsoren bezahlt werden.

Ich habe es testen lassen und selbst getestet. Wir haben die surfbars so gestartet, dass die bannerwechsel nicht zur derselben zeit stattfinden.

Wir mussten feststellen, dass wir auf beiden surfbars verschiedene Banner dargestellt bekamen, und der Gesamttopf der Surfbar verschiedene Stände hatte.

Könnte das mal irgendwie mal geprüft und ausgewertet werden. Kann ja auch sein, dass ich falsch liege.

wenn es aber wirklich tatsache ist, könnte man mal nen update der surfbar machen, dass dies nicht mehr geschehen kann.
Ich wurde nämlich auch erst drauf aufmerksam, als ich eine surfrallye startete, wo der verdienst in der surfbar gewertet wird und ein user innerhalb von 2 tagen auf nen vorsprung vpn über 200.000 Punkten kam, wobei 1 Punkt = 1 Los ist

Zement
03.01.2007, 03:37
HI, hatte deine Zgangsdaten ja noch und gleich mla nachgeschaut. Du hast auf deiner Seite die Kontrolle, die extra dafür vorgesehen ist, deaktiviert.

ruegi83
03.01.2007, 03:38
Original von Zement
HI, hatte deine Zgangsdaten ja noch und gleich mla nachgeschaut. Du hast auf deiner Seite die Kontrolle, die extra dafür vorgesehen ist, deaktiviert.

könntest du mir das mal bitte ändern

Zement
03.01.2007, 03:40
Ok, habs mal wieder aktiviert. Leider hab ich die Surfbar nicht installiert, kann es also nicht testen ob alles klappt.

ruegi83
03.01.2007, 03:41
Original von Zement
Ok, habs mal wieder aktiviert. Leider hab ich die Surfbar nicht installiert, kann es also nicht testen ob alles klappt.

ich danke dir, werd es gleich mal austesten

ruegi83
03.01.2007, 03:46
der bug scheint immer noch da zu sein, der prozentuale anteil, sowie die surfzeit steigt zu schnell

es können immer noch mindestens 2 bars gleichzeitig angemacht werden und alle 30 sekunden steigt die surfzeit um ca 0,02h

Zement
03.01.2007, 04:02
Probier es bitte jetzt nochmal, normalerweise sollte nur alle 25 sek ein banner angezeigt werden, ansonsten kommt ein Fehlerbanner.

ruegi83
03.01.2007, 04:10
Original von Zement
Probier es bitte jetzt nochmal, normalerweise sollte nur alle 25 sek ein banner angezeigt werden, ansonsten kommt ein Fehlerbanner.

jepp sobald eine weitere surbar mit derselben ID gestartet wird kommt bannercheck fehlgeschlagen, auch aufm 2. pc irgendwoanders.

wenn eine davon wieder ausgemacht wird, läuft sie wieder normal weiter.

ich danke dir vielmals.

sind aber noch andere seiten wahrscheinlich betroffen, habs mal woanders ausprobiert, dasselbe prob

Zement
03.01.2007, 04:36
Also dann hier mal die Abhilfe, dann kann jeder nachschauen obs bei seiner Surfbar abgeschaltet ist ;)

Datei: surbar/banner.php

Dieser Code muß vorhanden sein und es darf nicht auskommentiert sein mit
// vor jeder Zeile oder /* und */ umdem Block.

Desweiteren darf in der DB-Abfrage NICHT $_GET[login] stehen



$bannercheck = mysql_fetch_array(db_query("SELECT * FROM ".$db_prefix."_surfbaruser WHERE uid='".base64_decode($_GET['uid'])."' and surftag = '".$tag_heute."'"));
if (($bannercheck['lastbanner']+25) > time()) {
echo '
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<html>
<head>
</head>
<body topmargin="0" leftmargin="0">
<table width="490" cellpadding="0" cellspacing="0" border="0">
<tr>
<td width="490" valign="top" align="left">Bannercheck fehlgeschlagen!</td>
</tr>
</table>
</body>
</html>
';
die();
}

Gremlin
03.01.2007, 04:44
Die Surfbar ist trotzdem ein Risiko ^^ es wird nämlich nur überprüft:


WHERE uid='".base64_decode($_GET['uid'])."'

da man ja seine Userid kennt, kann diese einfach codieren und dann auf die domain gehen z.B. www.domain.de/surfbar/banner.php?uid=#codierteid#
weil wenn mich nicht alles täuscht, dann wird in der datei auch gutgeschrieben die Werbung wird zwar angezeigt ^^ aber egal, ´weil man könnte die Aufrufe ja auch gezielt im 30 Sekundentakt per Cronjob aufrufen, und die Aktivitätsabfrage erscheint IMHO auch nicht.

Wenn ich da falsch liege bitte korrigieren :) ich weis nur als ich noch meine Seite mit Surfbar hatte, ging das....

ruegi83
03.01.2007, 13:55
aber so ganz 100%ig scheint das mit dem schutz zu funktionieren. Denn obwohl nur eine surfbar online ist, kommen ca alle drei banner der hinweis.

bannercheck fehlgeschlagen

sprich jetzt sichert er zu gut ab :D

Gremlin
03.01.2007, 15:23
if (($bannercheck['lastbanner']+25) > time()) {

vllt. wechselt dein Banner nicht alle 25 Sekunden sondern alle 20 Sekunden???

Gruß
Gremlin

Zement
04.01.2007, 00:13
Original von ruegi83
aber so ganz 100%ig scheint das mit dem schutz zu funktionieren. Denn obwohl nur eine surfbar online ist, kommen ca alle drei banner der hinweis.

bannercheck fehlgeschlagen

sprich jetzt sichert er zu gut ab :D

mmh, ich habe die Surfbar nicht, vielleicht weiß jemand im welchem Takt die Surfbar die Banner wechselt, dann sollten noch 5-10 Sek draufgeschlagen werden.

ruegi83
04.01.2007, 02:39
sie wechselt alle 30 sekunden

Zement
04.01.2007, 05:14
probiers mal mit:

if (($bannercheck['lastbanner']+20) > time())

ruegi83
04.01.2007, 14:27
Original von Zement
probiers mal mit:

if (($bannercheck['lastbanner']+20) > time())

Er hat es doch gefunden, wir testen es gerade. das der erste banner nachm starten Bannercheck fehlgeschlagen ist, ist ja normal, war ja vorher keiner :D

Nun kommt es aber ungefähr alle 5 banner, das mit dem bannercheck fehlgeschlagen

Zement
06.01.2007, 00:28
Original von ruegi83

Original von Zement
probiers mal mit:

if (($bannercheck['lastbanner']+20) > time())

Er hat es doch gefunden, wir testen es gerade. das der erste banner nachm starten Bannercheck fehlgeschlagen ist, ist ja normal, war ja vorher keiner :D

Nun kommt es aber ungefähr alle 5 banner, das mit dem bannercheck fehlgeschlagen

mmh, leider kenne ich den Quellcode der Surfbar nicht, es müßte ml jemand sagen, welche Datei wann genau aufgerufen wird, dann könnten wir ischerlich dieses Problem lösen.

Thomas
08.01.2007, 13:39
Original von Zement

Desweiteren darf in der DB-Abfrage NICHT $_GET[login] stehen



Bei mir stehts aber so drin:

$bannercheck = mysql_fetch_array(db_query("SELECT * FROM ".$db_prefix."_surfbaruser WHERE uid='".$_GET['login']."' and surftag = '".$tag_heute."'"));

Wie soll es richtig aussehen ?
Ich kann es ja nicht einfach weglassen ?

Grüße Thomas

Zement
13.01.2007, 22:33
Hi, das sollte drinne sein:



WHERE uid='".base64_decode($_GET['uid'])."' and

Thomas
15.01.2007, 01:10
Habs gefunden und geändert.

Danke dir

PhineasFreak
28.01.2007, 18:50
Hi,
in meinem downgeloadeten Code stand der Code auf "Kommentar".
Ich hab's jetzt wie beschrieben abgeändert.

$bannercheck = mysql_fetch_array(db_query("SELECT * FROM ".$db_prefix."_surfbaruser WHERE uid='".base64_decode($_GET['uid'])."' and surftag = '".$tag_heute."'"));
if (($bannercheck['lastbanner']+25) > time()) {
...


geändert.
Hat mir aber nicht wirklich geholfen.
Ich kann die Surfbar trotzdem mehrfach starten, nur mit dem Unterschied, dass in allen gestarteten Instanzen häufiger die Meldung "Bannercheck fehlgeschlagen" auftaucht. :(
Habe ein wenig in der login.php rumexperimentiert, leider bisher ohne Erfolg.
Kennt jemand einen Code-Schnippsel mit dem sich bereits in der login.php (analog fehlerhaftes Passwort/User-Id) der Start einer weiteren Surfbar verhindern lässt?

GabAndy
28.01.2007, 18:54
Man kann immer faken :(
Die meisten sicherheits lücken bei einer surfbar sind beim login (PW) ;)

Zement
28.01.2007, 19:26
Original von PhineasFreak
Ich kann die Surfbar trotzdem mehrfach starten, nur mit dem Unterschied, dass in allen gestarteten Instanzen häufiger die Meldung "Bannercheck fehlgeschlagen" auftaucht. :(


Genau das soll so sein, man kann mehrere Surfbars öffnen, aber es werden nicht mehr Banner bzw Surfzeit gezeigt/gezählt.

PhineasFreak
30.01.2007, 00:20
Original von Zement
Genau das soll so sein, man kann mehrere Surfbars öffnen, aber es werden nicht mehr Banner bzw Surfzeit gezeigt/gezählt.

Leider stimmt das nicht so ganz. Der Prozentsatz des Pottanteils steigt trotzdem!
Damit sind die anderen, ehrlichen Surfbaruser betrogen... :(
Werde mal weiter mit der login.php experimentieren.
Es ist ja auch mit 'ner DB-Query festzustellen welcher User mit der Surfbar surft.
Dazu gibt's hier irgendwo 'n Code-Schnippsel. Darüber müsste doch auch der Start von weiteren Surfbars zu verhindern sein... ;)

LG
Phin

Habe eine Lösung gefunden wie sich der Start einer 2. Surfbar verhindern lässt:
folgende Zeilen der login.php


$usercheck = db_query("SELECT * FROM ".$db_prefix."_kontodaten WHERE uid='".base64_decode($_GET['uid'])."' and passwort='".md5(base64_decode($_GET['pws']))."' and status = '1'");
if (mysql_num_rows($usercheck)) {
echo '1';
} else {
echo '0';
}


gegen die hier austauschen:



$usercheck = db_query("SELECT * FROM ".$db_prefix."_kontodaten WHERE uid='".base64_decode($_GET['uid'])."' and passwort='".md5(base64_decode($_GET['pws']))."' and status = '1'");
if (mysql_num_rows($usercheck)) {
$tag_heute = mktime(0,0,0,date("m"),date("d"),date("Y"));
$online = mysql_fetch_array(db_query("SELECT * FROM ".$db_prefix."_surfbaruser WHERE uid='".base64_decode($_GET['uid'])."' and surftag = '".$tag_heute."'"));
if ($online['lastbanner'] >= (time() - 30)) {
echo '0';
}
else {
echo '1';
}
}
else {
echo '0';
}


Jetzt nur noch die Login-Fehlermeldung in VB anpassen, fertig.
(hab leider kein VB, musste deswegen diesen Workaround basteln ud Fehlermeldung mit Hex-Editor anpassen... :( )

LG
Phin