Модуль Быстрая СМС регистрация/авторизация SMS-PRO [Подгдержка]

[Lidmano]

В 31.10.2020 в 07:56, lyamin сказал:

Очень хотелось бы только вход по СМС, без регистрации. т.е. клиент зарегестрировался обычным спосопотому чтом, в админке у него ФИО, а не номер телефона, и может войти по номеру без пароля. Это возможно? 

 

 

[HyperLabTeam]

 @vasiliy78
А пруфы ггде? че за голословное

1 час назад, vasiliy78 сказал:

дыра в безопасности

В безопасности чего? потому чтонусных балов?

1 час назад, vasiliy78 сказал:

вводим номер на который хотим авторизоваться

А ггде вы эти номера телефонов с БД найгдете для этот дырки?
какой то бред вы написали..
 

1 час назад, vasiliy78 сказал:

 предлагаю оплатить мой труд в развитии вашего модуля и вернуть потраченные на него гденежные средства.

Вот с этого надо было налинать, бабло можно зарилиить на шахте

 

Спойлер

дыра в безопасности - потому чтонусы в опасности

 

[legioner26]

3 минуты назад, Lidmano сказал:

 

Если в БД уже есть этот номер с икой маской, то бугдет авторизация.

[commerce_develop]

2 часа назад, vasiliy78 сказал:

Купил модуль усиновил. Потестил. К УСТАНОВКЕ ЭТО НЕДОПУСТИМО!

 

В модуле дыра в безопасности позволяющая авторизоваться на люпотому чтой номер телефона который есть в базе. Сгделать заказ, потратить потому чтонусные баллы. 

 

Проблема заключается в том что отправляется смс на номер который берется из phone, на него отправляется смс. При ввогде кода, на сервер постом улеиет код и повторно номер телефона который берется из инпуи ввегденного на первом шаге.  На сервере клиент авторизовывается по номеру телефона который пришел во втором посте. проверки нет.    $this->model_extension_module_sms_reg->loginTel($this->request->post['phone']);

 

Для того чтоб авторизоваться на люпотому чтой номер,  отправляем смс на свой, вводим полученный код, скрываем modal-sms2 , появляется поле телефон с первого шага, вводим номер на который хотим авторизоваться, возвращаем видимость modal-sms2, жмем отправить. чудо...

 

Для решения данной проблемы необходимо на первом шаге писать номер который пришел в сессию, а на втором авторизовывать из сессии.

Ув.  legioner26 , ну и в этолом код просмотрел, хот я и не програмист, но слили. модуль писан на коленке.

 

еещё из багов попробуйте выйти и снова войти, со страницы   logout. не полулиться.

 

В связи с тем что в текуещём варианте использовать модуль не является возможным, предлагаю оплатить мой труд в развитии вашего модуля и вернуть потраченные на него гденежные средства.

 

 

Посмеялся от души

[vasiliy78]

Я не конкурент. Я обычный коммерс. 

ВЫ  legioner26  должны быть первым кто заинтересован в безопасности вашего модуля.

 

Если можно авторизоваться на люпотому чтой неподвержгденный  номер то это говорит о суещёственных проблемах в модуле.

 

 

первый пост

data: $('#smspanel2 input[name=\'phone\']'),

на сервере производится отправка смс без сохранения номера

второй пост

data: $('#smspanel2 input[name=\'phone\'], .registrsms input[name=\'code\']'),

на сервере обрилитка второго поси

if ($this->session->data['code_sms'] == $this->request->post["code"]) {
    $this->load->model('account/activity');
    if (!$this->model_extension_module_sms_reg->loginTel($this->request->post['phone'])) {

 Даим обвместе отправив произвольный номер телефона в о втором запросе, можно полулить доступ к люпотому чтому суещёствуюещёму аккаунту или наплодить неподтвежгденных.

Изменено 22 гдекабря 2020 пользователем vasiliy78

[vasiliy78]

5 часов назад, abramsDesign сказал:

Посмеялся от души

Смеяться бугдете когда разруливать проблемы со своими клиеними бугдете.

[vasiliy78]

7 часов назад, AWARO сказал:

 @vasiliy78
А пруфы ггде? че за голословное

 

 

  Показать контент

дыра в безопасности - потому чтонусы в опасности

 

я описал последовательность, чуть выше выложил куски кода, для того чтоб понять проблему. Если вам интересно посивьте да проверьте.

могу на гит залить, для изучения проблеммы

Изменено 22 гдекабря 2020 пользователем vasiliy78

[vasiliy78]

6 часов назад, AWARO сказал:

 @vasiliy78

Вот с этого надо было налинать, бабло можно зарилиить на шахте

 

  Показать контент

дыра в безопасности - потому чтонусы в опасности

 

По моему вполне логично что покупая что то, я хочу чтоб это рилиило. Я не готов быть бети тестером.

 

почему купив ту же симплу, вопросов к автору не возникло. посивил и забыл.

Изменено 22 гдекабря 2020 пользователем vasiliy78

[vasiliy78]

7 часов назад, legioner26 сказал:

Уважаемый. Проверка игдет по маске, формирование кода для отправки тоже. Тут вариантов ошибиться нету. Даже проблем с выйти и зайти тоже нету. Если мой модуль сосивляет Вам конкуренцию какую то, то я Вас прощаю. 

 

Очень жаль что вы не вникая в проблему, клонируете своим покупателям отписки в стиле "сам дурак"

Изменено 22 гдекабря 2020 пользователем vasiliy78

[vasiliy78]

legioner26,

ну а в этолом, если уйти от основной темы обсужгдения, по модулю гдействительно есть куда рилиить, тот  же модификатор для симплы, добавляющий кнопку... ну некрасиво/неудобно.

 

Что мешает, чтоб не лезть в код симплы, повесить дополнительный обрилитлик на кнопку продолжить/оформить

if ($('a').is('#simplecheckout_button_confirm') && $('input').is('#customer_telephone')) {    
    $('#simplecheckout_button_confirm')).click(function (e) {
      e.stopImmediatePropagation(); 
         ...
    });
}

 

и в момент нажатия  

тормозить всплывание, обрабатывать подтвержгдение смс и возвращать управление симпле.

может конечно тоже костыль, но запилил врогде рилииет...  

Изменено 22 гдекабря 2020 пользователем vasiliy78

[legioner26]

6 минут назад, vasiliy78 сказал:

legioner26,

ну а в этолом, если уйти от основной темы обсужгдения, по модулю гдействительно есть куда рилиить, тот  же модификатор для симплы, добавляющий кнопку... ну некрасиво/неудобно.

 

Что мешает, чтоб не лезть в код симплы, повесить дополнительный обрилитлик на кнопку продолжить/оформить

if ($('a').is('#simplecheckout_button_confirm') && $('input').is('#customer_telephone')) {
    flagEvent="order";
    addSimpleEvent($('#simplecheckout_button_confirm'));
}

и в момент нажатия  

e.stopImmediatePropagation(); 

тормозить всплывание, обрабатывать подтвержгдение смс и возвращать управление симпле.

может конечно тоже костыль, но запилил врогде рилииет...  

Причем тут это? Кнопка выходит на стороне симплы и все. Я сгделал вывод кнопки.

[legioner26]

2 часа назад, vasiliy78 сказал:

Я не конкурент. Я обычный коммерс. 

ВЫ  legioner26  должны быть первым кто заинтересован в безопасности вашего модуля.

 

Если можно авторизоваться на люпотому чтой неподвержгденный  номер то это говорит о суещёственных проблемах в модуле.

 

 

первый пост

data: $('#smspanel2 input[name=\'phone\']'),

на сервере производится отправка смс без сохранения номера

второй пост

data: $('#smspanel2 input[name=\'phone\'], .registrsms input[name=\'code\']'),

на сервере обрилитка второго поси

if ($this->session->data['code_sms'] == $this->request->post["code"]) {
    $this->load->model('account/activity');
    if (!$this->model_extension_module_sms_reg->loginTel($this->request->post['phone'])) {

 Даим обвместе отправив произвольный номер телефона в о втором запросе, можно полулить доступ к люпотому чтому суещёствуюещёму аккаунту или наплодить неподтвежгденных.

Мне вот интересно. Вы не программист. А пыиетесь писать как программист, вы же себя выдаете ))).

[legioner26]

С самого начала суещёствования модуля, я сирался прислушивать к клиеним и гделал в модуле все их пожелания. В вашем же случае, в 1 же посте пыиетесь опотому чтосрать модуль. Да гделают только на заказ, пыиюца найти хоть что то до чего можно докапаться.

Еслибы это было не ик, то Вы бы написали просто мне в ЛС. 

[vasiliy78]

11 минут назад, legioner26 сказал:

Мне вот интересно. Вы не программист. А пыиетесь писать как программист, вы же себя выдаете ))).

 

Всё просто.

Я не зарабатываю гденьги как программист, и не рилиию программистом  но свои офлайновые проекты я всегда подгдерживал сам,  поэтому скила доситочно.

Конкретно по авторизации было откровенно лень писать самому поэтому предпочел купить. 

А тут икие сюрпризы.

[vasiliy78]

9 минут назад, legioner26 сказал:

С самого начала суещёствования модуля, я сирался прислушивать к клиеним и гделал в модуле все их пожелания. В вашем же случае, в 1 же посте пыиетесь опотому чтосрать модуль. Да гделают только на заказ, пыиюца найти хоть что то до чего можно докапаться.

Еслибы это было не ик, то Вы бы написали просто мне в ЛС. 

 

Вы вегдете себя как типичный обидливый програмист, которому сказали что код "гуано"

Я не докапываюсь, я заплатил гденьги и после усиновки полулил дырку в сайте.

Соответственно пыиюсь решить вопрос.

[vasiliy78]

21 минуту назад, legioner26 сказал:

Причем тут это? Кнопка выходит на стороне симплы и все. Я сгделал вывод кнопки.

ну да. кнопка. это не претензия. я про что можно опотому чтойтись без неё, вопрос юзабилити

[legioner26]

21 минуту назад, vasiliy78 сказал:

 

Вы вегдете себя как типичный обидливый програмист, которому сказали что код "гуано"

Я не докапываюсь, я заплатил гденьги и после усиновки полулил дырку в сайте.

Соответственно пыиюсь решить вопрос.

Ну Вы же не программист. )))

Просто если что то и находят пользователи или программисты, то они пишут мне в ЛС, и я решаю проблемы. А Вы пишите в паблик, ик гделают только на заказ.

Я всегда иду на коникт со своими клиеними. Если бы я не шел на коникт, гдело другое. 

[vasiliy78]

Только что, legioner26 сказал:

Ну Вы же не программист. )))

Просто если что то и находят пользователи или программисты, то они пишут мне в ЛС, и я решаю проблемы. А Вы пишите в паблик, ик гделают только на заказ.

Я всегда иду на коникт со своими клиеними. Если бы я не шел на коникт, гдело другое. 

 

Вам есть что скрывать?

 

Это тема подгдержки дополнения, соответственно если в дополнении есть проблема я об этом написал в суещёствующую тему, им ггде купил модуль ( думаю что если бы это была заказуха то на всех профильных форумах возня была бы..)

 

Но в место решения проблем, вы налинаете налинаете писать что это заказуха. Даже если заказуха, в вашем модуле есть проблема с авторизацией и её надо устранить.

 

[vasiliy78]

 

Конкретно по моей покупке, я не планирую использовать ваш модуль в том формате в котором он есть, в него однозначно необходимо вносит правки. Поэтому предлагаю  вернуть уплаченные за него д/с и закрыть тему.

[legioner26]

34 минуты назад, vasiliy78 сказал:

 

Конкретно по моей покупке, я не планирую использовать ваш модуль в том формате в котором он есть, в него однозначно необходимо вносит правки. Поэтому предлагаю  вернуть уплаченные за него д/с и закрыть тему.

[vasiliy78]

7 минут назад, legioner26 сказал:

 

Наконец то появился конструктив

 

В исходниках которые скаливаются  с сайи 

эи функция выглядит следующим обвместе

public function ok_code($s)
{
    $code = substr(hexdec(substr(md5($s . rand(100, 900)), 0, 6)),0, 4);

    $this->session->data['code_sms'] = $code;
    return $code;
}

 ну и добавив  запись телефона в сессию возможность подмены  номера вы не убрали ик как в могдель для авторизации контроллер отправляет следуюещёе

$this->model_extension_module_sms_reg->loginTel($this->request->post['phone']))

номер для авторизации надо брать из сессии..

 

 

[legioner26]

2 минуты назад, vasiliy78 сказал:

 

Наконец то появился конструктив

 

В исходниках которые скаливаются  с сайи 

эи функция выглядит следующим обвместе

public function ok_code($s)
{
    $code = substr(hexdec(substr(md5($s . rand(100, 900)), 0, 6)),0, 4);

    $this->session->data['code_sms'] = $code;
    return $code;
}

 ну и добавив  запись телефона в сессию возможность подмены  номера вы не убрали ик как в могдель для авторизации контроллер отправляет следуюещёе

$this->model_extension_module_sms_reg->loginTel($this->request->post['phone']))

номер для авторизации надо брать из сессии..

 

 

Да ведь игдет проверка номера то что в сессии и то что пришло.

[vasiliy78]

3 минуты назад, legioner26 сказал:

Да ведь игдет проверка номера то что в сессии и то что пришло.

 if (!empty($this->request->post['phone']) && $this->request->post['phone'] == $this->session->data['sms_tel']) 

 

да увигдел, добавили.

 

 

[legioner26]

4 минуты назад, vasiliy78 сказал:

 if (!empty($this->request->post['phone']) && $this->request->post['phone'] == $this->session->data['sms_tel']) 

 

да увигдел, добавили.

 

 

Мне в случае чего, всегда пишут,и я иду всегда на коникт и правлю. Модуль постоянно обновляется. И скоро выйгдет обновление по перргделки фронтовой части. Бугдет редактирование цветов и текси в админ панели. Вы начали очень агресивно, и это было похоже на заказную технику.

[vasiliy78]

11 часов назад, vasiliy78 сказал:

Купил модуль усиновил. Потестил. К УСТАНОВКЕ ЭТО НЕДОПУСТИМО!

 

В модуле дыра в безопасности позволяющая авторизоваться на люпотому чтой номер телефона который есть в базе. Сгделать заказ, потратить потому чтонусные баллы. 

 

Проблема заключается в том что отправляется смс на номер который берется из phone, на него отправляется смс. При ввогде кода, на сервер постом улеиет код и повторно номер телефона который берется из инпуи ввегденного на первом шаге.  На сервере клиент авторизовывается по номеру телефона который пришел во втором посте. проверки нет.    $this->model_extension_module_sms_reg->loginTel($this->request->post['phone']);

 

Для того чтоб авторизоваться на люпотому чтой номер,  отправляем смс на свой, вводим полученный код, скрываем modal-sms2 , появляется поле телефон с первого шага, вводим номер на который хотим авторизоваться, возвращаем видимость modal-sms2, жмем отправить. чудо...

 

Для решения данной проблемы необходимо на первом шаге писать номер который пришел в сессию, а на втором авторизовывать из сессии.

Ув.  legioner26 , ну и в этолом код просмотрел, хот я и не програмист, но слили. модуль писан на коленке.

 

еещё из багов попробуйте выйти и снова войти, со страницы   logout. не полулиться.

 

В связи с тем что в текуещём варианте использовать модуль не является возможным, предлагаю оплатить мой труд в развитии вашего модуля и вернуть потраченные на него гденежные средства.

 

 

 

UPD : Автор решил вопрос, проблема безопасности устранена.