Outro Entrega de Pontos Automatico - Tomen Cuidado !

[KingMapper 8]

Recentemente tive a dúvida se haveria um jeito de burlar o sistema de compras de pontos em servidores, e fazendo varios testes, consegui chegar a 1 resultado concreto.

 

Sim eu conseguir burlar o sistema de pontos, claro que não burlei de ninguem mais sim o meu proprio.

 

Se você usa métodos automaticos de enviar pontos para os seus clientes via ( Paypal, Pagseguro ),

tomen cuidado, com o jeito certo, é facilmente burlado o sistema e trocando os valores de R$10,00 ... por apenas R$1,00 ou até R$0,00 , e como você está com o modulo automatico, é claro que irá mandar os pontos automaticos mesmo se pagar essas quantias minusculas.

 

É claro que não irei ensinar como burlar sistemas de shops de jogos ( inclusive Tibia ), mas estou aqui alertando a todos que são admins e usam dessa prática.

 

Obrigado por sua Atenção.

[luanluciano93 1994]

Aqui está o código principal do sistema disponibilizado pelo Nathanael ... 

[1]
<form target="pagseguro" method="post" action="https://pagseguro.uol.com.br/checkout/checkout.jhtml">
	<input type="hidden" name="ref_transacao" value="'.$account_logged->getCustomField("name")	<input type="number" ng-model="get_points" min="1" size="5" maxlength="5">
	<input name="item_valor_1" type="hidden" value="{{get_points * 100}}" size="5" maxlength="5">
	<input name="item_quant_1" type="hidden" value="1" size="1" maxlength="1">
</form>

[2]
$Referencia = $_POST['Referencia'];
$NumItens = intval($_POST['ProdValor_1']);
$ProdQuantidade_x = $POST['ProdQuantidade_1'];

[3]
mysql_query("UPDATE accounts SET premium_points = premium_points + '$NumItens' WHERE name = '".htmlspecialchars($accname)."'"); 

 Primeiramente, devemos ver os 2 dados principais que o formulário envia para o pagseguro: item_valor_1 e item_quant_1.

• o item_valor_1 representa o valor do produto, e é contado em centavos.
• o item_quant_1 representa o quantidade do produto, e é contado por unidade.

Depois de enviado, o pagseguro retorna os valores, e se aprovado executa a query:

• Recebe item_valor_1 e executa o comando na database: premium_points = premium_points + item_valor_1

Bom, certamente que o sistema dele cada 100 premium points custam 1 real. (foi o o que aconteceu)

Se alguém altera o valor pago para 1 centavo, ele irá receber 1 ponto .. entende? O dele funciona perfeitamente, não tem como burlar mesmo que diminuindo o valor.


 

[Victor Fasano Raful 156]

@luanluciano93, caso ele doe 1 centavos não irá retornar um valor inteiro para poder acrescentar um valor final...

 

 

@KingMapper, Módulo do pagseguro é falho na brecha certa, porém há diversos métodos que impede isso, um deles é:

if ($StatusTransacao == "Aprovado") {
mysql_query("UPDATE accounts SET premium_points = premium_points + '$NumItens' WHERE name = '".htmlspecialchars($accname)."'");
mysql_query("UPDATE pagsegurotransacoes SET StatusTransacao = 'Entregue' WHERE CONVERT( `pagsegurotransacoes`.`TransacaoID` USING utf8 ) = '$TransacaoID' AND CONVERT( `pagsegurotransacoes`.`StatusTransacao` USING utf8 ) = 'Aprovado' LIMIT 1 ;");
} 

Sabendo-se que o código acima adiciona a quantidade de items comprada... Revertendo o código para uma compra fixa, ou seja. Apenas será finalizada e completa a compra de valor determinado por sua pessoa. 5, 10, 15, assim por diante.

 

Ficando então o código

if ($StatusTransacao == "Aprovado") {
if ($NumItens == X){
mysql_query("UPDATE accounts SET premium_points = premium_points + '$NumItens' WHERE name = '".htmlspecialchars($accname)."'");
mysql_query("UPDATE pagsegurotransacoes SET StatusTransacao = 'Entregue' WHERE CONVERT( `pagsegurotransacoes`.`TransacaoID` USING utf8 ) = '$TransacaoID' AND CONVERT( `pagsegurotransacoes`.`StatusTransacao` USING utf8 ) = 'Aprovado' LIMIT 1 ;");
}
} 

Sendo assim depositado um quantia X. Caso este X exceda 1 ou seja diferente, não cairão os pontos. Tenho este sistema em meus servidores, e caso alguém venha de tentar burlar, é enviado a meu email pessoal e comercial com informações avançadas do cliente, da máquina e rede e de compra. Sendo assim entrando em contato com o mesmo e não tendo o ressarcimento do mesmo pois é uma tentativa de roubo dado assim como crime cybernético.

 

Sistema é falho nas mãos erradas, porém da para evitar com PHP, basta ter conhecimentos e lógica para fazer algo legal.

 

[Patrick Jean 40]

É usado alguma função pra verificar centavos??

[luanluciano93 1994]

@Victor Fasano Raful, 1 centavo retorna 1 em valor do produto, enfim, o sistema do Nathanael já é o bastante para evitar fraudes. 

Obs: Se o valor de 1 real equivaler 100 points. Caso contrário teria que trata-lo como o Victor disse.

 

@Patrick Jean, • o item_valor_1 representa o valor do produto, e é contado em centavos.

[KingMapper 8]

Victor Fasano Raful Obrigado por Compartilhar sua Experiencia ! Sim , com o código errado é facilmente aletação do formulario GET e POST , vejam um exemplo abaixo.

Pedi a um amigo Dexar que fizesse um teste no servidor ja online dele com cerca de 108 players ( não irei citar nomes, pois pode haver burlaçao no sistema dele ) , fiz uma compra de 800 pontos por apenas R$0,01 em Paypal.

Felizmente tem muitos colaboradores no forum que ofereçem scripts funcionais e sem erros ou brechas

[Victor Fasano Raful 156]

@luanluciano93, pelo que vejo em logs, 1 centavo representa em valor retornado (pelo menos no meu sistema) 001.

 

 

@Patrick Jean, Você faz uma listagem de pontos, como por exemplo da imagem

 

@KingMapper, infelizmente não presenciei ainda erros com POST e GET, pois o script é executado em curl e fskopen remoto, é praticamente impossivel a não ser que o sistema que o site utilize para depositar os pontos utilize tais funções.

 

 

 

Ou seja, vende os pontos no valor e quantidade que você escolher, sendo dessa forma ele gerando o número da quantidade X e o valor fixo Y..

 

Já em PHP, no retorno de dados, seria mais ou menos assim.

if ($StatusTransacao == "Aprovado") {
if ($ProdQuantidade_x == 10 && $NumItens == 13){
QUERYS
}
}

No seguinte código acompanha a imagem... Sendo assim depositados 10 pontos somente se o valor referente for 13 reais.

Editado Fevereiro 20, 2015 por Victor Fasano Raful (veja o histórico de edições)

[luanluciano93 1994]

@Victor Fasano Raful, creio que a melhor forma de se fazer é colocar um favor fixo em valor, e um input onde você digita o valor da quantidade, e no retorno do pagseguro verifica se  valor esta realmente de acordo com o valor que você fixou, se sim, adiciona a quantidade aos pontos. 

[Victor Fasano Raful 156]

Sim @luanluciano93, mas concorda que os valores podem se elevar de 1 a 9999. Creio que o código seria meio extenso, é legal e prático e oferecer uma lista de variações de pontos e de acordo com os valores dos itens, sempre combinando do básico a uma compra mais complexa de x pontos... Também pode ser possivel a opção de promoções, doações X depositados valores Y...

 

Pode ser que eu disponibilize tal sistema, pois vi em alguns topicos o sistema contendo diversas páginas, tenho em apenas algumas simples linhas as funções necessárias e encurtadas com PHP OOP.

[Panicat 4]

Essa brecinha eu sei como funciona, mais nem todos funciona, se o script tiver erros funfa 100%

[Bruno Carvalho 837]

O tópico foi movido para a área correta, preste mais atenção da próxima vez!

Leia as regras do fórum: http://tibiaking.com/forum/topic/1281-regras-gerais/?p=7680

Este tópico foi movido:

De: "Tibia King → Atendimento Geral"

Para: "OTServ → Suporte OTServ → Suporte de OTServ Geral"

[LeoTK 795]

Uma dúvida eu uso modern acc, com sistema pagseguro porém acabei de fazer o teste usando 12,12 e 12.12 e 12 12 < e as 3 formas diferentes deram erro ele pede um número numerico porém isso é do pagseguro e não do sistema do meu site se possivel alguem pode verificar se é possivel burlar o meu sistema donation podem acessar o site clicando no banner na minha assinatura como ainda estou mechendo no servidor ele se encontra off-line então estou querendo deixar tudo certo sem nenhum tipo de bug ou erro para os players.

 

obrigado pela atenção

 

aguardo respostas

 

+rep por avisar sobre isso rs

[Bruno Carvalho 837]

Não tinha visto direito o conteúdo do tópico e após dar uma melhor analisada acho que ele deveria ficar em OTServ Geral por ser uma discussão muito polêmica e aqui ser a área para esse tipo de discussão

[Bruno Minervino 520]

Meu sistema funciona assim:

 

O player com x moedas, e desse formulário ele passa por um validador, que registra a compra e registra as informações.

Quando o PagSeguro fizer a comunicação com meu servidor eu busco o número da compra (isso o usuário não tem como alterar, pois é o validador que faz a operação).

Caso os valores que o PagSeguro me devolver for diferente do que está registrado em sistema, não irá dar moeda alguma.

Nesse exemplo citado acima, o cara edita para pagar 1 real por 10 moedas, quando o PagSeguro fizer a comunicação ele vai entregar apenas 1 moeda, porque ele pega o valor inteiro da compra e converte em moedas.

 

Agora, porque eu fiz isso?

Mesmo que o cara fique apenas com 1 moeda, isso não é certo, pois ele tentou fazer uma fralde. Caso ele entrar em disputa com o PagSeguro, eu imprimo um relatório e envio ao mesmo, informando que ele tentou fraudar meu sistema, desta forma ele estará se complicando!

 

Antes de praticar esses atos, principalmente utilizando o "F12" do Google Chrome, se achando o espertão, tome cuidado, que fralde é fralde, não importa de que forma.

 

Abraço!