Ergebnis 1 bis 10 von 16

Thema: Skandal VCheck v4.1

Hybrid-Darstellung

Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
  1. #1
    Erfahrener Benutzer Avatar von jpwfour
    Registriert seit
    06.02.2008
    Beiträge
    3.717

    Skandal VCheck v4.1

    [Bugfix nur teilweise, da Scriptseitig nur ein Teil, wenn die Werbenetzwerke da nicht kooperieren, ist keine 100% Sicherheit möglich (siehe dazu Ende des Beitrags)]

    Nicht wundern, wenn die User 100% VCheck Rate haben, Ihr als Seitenbetreiber bei den Sponsoren nichts vergütet bekommt.

    Variante #1:
    Leider wurde hier auf eine "zusätzliche" Passwortabsicherung verzichtet, diese ist aber dringend nötig.

    Dazu (wie früher auch) bei den Werbenetzwerken an die RückmeldeURL
    &pw=PASSWORT
    bzw.
    ?pw=PASSWORT
    anhängen. Dabei steht das ? direkt nach dem .php, sollte schon ein ? drin sein, die 1. Variante mit dem &

    In der vg_datei.php dann einfach oben sowas wie:
    PHP-Code:
    <?php
    if($_GET['pw']!='PASSWORT')die('...');
    gerne auch schon vor dem Einbinden der funktions.lib

    Variante #2:
    Einfach die Datei vg_datei.php umbenennen (in xyzayag13.php bspw), auch hier müssen die Links bei den Werbenetzwerken entsprechend angepasst werden. (#12)

    Oder noch besser, Beides

    --

    Allzu viele User/Faker sind da noch nicht draufgekommen, es werden aber wie halt immer tägl. mehr

    Denke man kann sich auch schon vorstellen, wie die das machen (könnten), Da ja var1 bzw v1 für jeden ersichtlich im Frameset der fc.php bspw. ersichtlich sind, und die KampagnenID auch meist aus der AufrufURL zum Sponsor hin hervorgeht.

    Am besten fände ich's, wenn das nachgerüstet würde.


    Evtl. funktioniert das mit dem Passwort anhängen nicht bei jedem Sponsor (wobei das ohne natürlich ungut ist), in dem Fall sollte man den Sponsor daraufhinweisen!

    -- Dies bringt nur bei den Werbenetzwerken Sicherheit, die die VCheckURL direkt von ihrem Server aus aufrufen, was aber eigentlich jedes machen sollte. Einige sparen sich das, und delegieren diese Aufgabe an den User weiter, was ihnen Systemressourcen spart, aber jegliche Sicherheit zunichte macht!
    Kill one man, and you are a murderer.
    Kill millions of men, and you are a conqueror.
    Kill them all, and you are a god.
    - Jean Rostand, Thoughts of a Biologist (1939)

  2. #2
    das Problem ist eben, das man mit einigen kleinen Tools das PW sichtbar machen kann, weil es von den Sponsoren unverschlüsselt gesendet wird. Deshalb habe ich auch direkt drauf verzichtet, da es ja bekanntlich Admins gibt die für alles das selbe Passwort verwenden (entgegen aller Warnungen) und da wäre es noch unsicherer ein unverschlüsseltes PW vom Sponsor zu empfangen

  3. #3
    Erfahrener Benutzer Avatar von jpwfour
    Registriert seit
    06.02.2008
    Beiträge
    3.717
    URL mit Testaccount, dann mach ich das mal eben

    EDIT: zur Erklärung: Es muss ja einen Parameter geben, der "sicher" ist, den also nur der Seitenbetreiber und das Werbenetzwerk kennt. Das kann also keiner sein, der zw. diesen beiden öffentlich übertragen wird, höchstens man würde dafür eine Verschlüsselung anwenden, was aber die WNW nicht unterstützen.
    Also bleibt nur ein fester Wert, der direkt beim WNW angegeben wird, oder man checkt die IP des Aufrufers und ordnet die den WNW zu etc.
    Kill one man, and you are a murderer.
    Kill millions of men, and you are a conqueror.
    Kill them all, and you are a god.
    - Jean Rostand, Thoughts of a Biologist (1939)

  4. #4
    ich glaube dir das schon, nur bringt dein Vorschlag eben nur "falsche Sicherheit"..

  5. #5
    andererseits ist es so, das aus mehreren Variablen und einem PW, das der Admin selber bei der Installation vergibt ein MD5hash gebildet wird und dieser muss in der DB sein und auch noch innerhalb der Kampagnenzeit ...also bevor das Topframe auf vergütung umspringt bestätigt werden muss, damit der User den Klick auch vergütet bekommt...zumindest bei den "kurzen Kampagnen" garnicht so einfach das zu manipulieren, selbst wenn man weis was man tut

  6. #6
    Erfahrener Benutzer Avatar von jpwfour
    Registriert seit
    06.02.2008
    Beiträge
    3.717
    Der Eintrag in die DB findet nur durch aufruf der topframe statt, ergo kann man die SponsorenSeite auslassen. Die kid bekommt man durch das Frameset, damit hat man schon alle nötigen Parameter. Die topframe zu laden, stellt ja keinen großen Aufwand dar, sofern da nicht ebenfalls Werbung drin is, dann macht das faken ja keinen Spass
    Dasselbe Script ruft sofort danach die vcheck URL auf, da hier auch nicht der Mindestaufenthalt gecheckt wird, sprich man kann nach 1 Sekunde schon die Rückmeldung "vergütet" generieren, wobei der Aufenthalt 60 Sekunden beträgt. (Das kann man aber kaum sperren)

    Dann muss man ja nur die topframe eben nach Ablauf MA reloaden, fertig.

    Kein lästiges Aufhalten mit Massen Frame seiten, Popups, Viren etc. und noch dazu 100% VCheck.

    Durch mehrmaliges laden der topframe und ebenfalls vcheck url mit den gleichen Parametern lässt sich so auch ein vcheck Wert von 2 Mio Aufrufen generieren, was zwar lustig ist, aber leider keine Lose einbringt, die Überprüfung is ja unabhängig vom vcheck
    Kill one man, and you are a murderer.
    Kill millions of men, and you are a conqueror.
    Kill them all, and you are a god.
    - Jean Rostand, Thoughts of a Biologist (1939)

  7. #7
    Erfahrener Benutzer Avatar von jpwfour
    Registriert seit
    06.02.2008
    Beiträge
    3.717
    Wie sollte das mit dem Passwort sichtbar machen funktionieren?

    Das Passwort ist nur in der DB des WNW gespeichert, und wird nur für einen Direktaufruf der PHP datei verwendet.

    Da müsste man sich ja zwischenschalten, was zwar nicht ganz unmöglich ist, aber mit kleinen Tools kommt man da afaik nicht weit.
    Kill one man, and you are a murderer.
    Kill millions of men, and you are a conqueror.
    Kill them all, and you are a god.
    - Jean Rostand, Thoughts of a Biologist (1939)

Ähnliche Themen

  1. Skandal VCheck v4.1 wieder umgehbar
    Von Punscha im Forum Support zu Addons & Erweiterungen
    Antworten: 0
    Letzter Beitrag: 20.02.2011, 15:03
  2. Skandal VCheck v4.1 umgehbar
    Von jpwfour im Forum Sicherheitslücken
    Antworten: 20
    Letzter Beitrag: 17.09.2010, 18:32
  3. Wie weitere Sponsoren in Vcheck Addon von Skandal aufnehmen?
    Von Rallef im Forum Support zu Addons & Erweiterungen
    Antworten: 0
    Letzter Beitrag: 20.08.2009, 02:38
  4. Adress-Skandal?
    Von dragon11 im Forum Webseiten
    Antworten: 94
    Letzter Beitrag: 22.05.2009, 18:59
  5. Anteilsaddon von skandal
    Von Youngboy im Forum Support zu Addons & Erweiterungen
    Antworten: 3
    Letzter Beitrag: 27.03.2009, 09:55

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •