Beim voten den POST-Parameter manipulieren

Yiv · 06/01/2013, 14:02

Liebe Community,

ich habe ein kleines Problem. Ein User hat behauptet (nachdem wir ihn darauf angesprochen hat, woher er Coins im Wert von knapp 125€ hatte), wie ihr sie bekommen hat. Natürlich hat er erst alles abgestritten, nun aber zugegeben - nachdem wir ihn auf den POST-Parameter angesprochen haben - , dass dieser änderbar ist. Nur wissen wir leider nicht, wie:

vote.php (Original, wie wir sie gedownloadet haben):

PHP Code:



<?php  
// Einstellungen 
 
$dbhost = 'localhost';    //mySQL IP 
$dbuser = 'root';       //mySQL Username 
$dbpassword = 'passwort';   //mySQL Passwort 
$database = 'homepage';       //mySQL Datenbank 
 
$coins = '100';               //Menge an Coins pro Vote 
$wartezeit = '4';             //Wartezeit in Stunden 
 
 
$s1 = 'www.google.de/1';      //Vote Seite 1 
$s2 = 'www.google.de/2';      //Vote Seite 2 
$s3 = 'www.google.de/3';      //Vote Seite 3 
$s4 = 'www.google.de/4';      //Vote Seite 4 
$s5 = 'www.google.de/5';      //Vote Seite 5 
 
 
 
 
// Einstellungen Ende 
 
 
//Ab hier NICHTS mehr verändern! 
 
$conn = mysql_connect($dbhost, $dbuser, $dbpassword) or die ('mySQL Connecting Error');  
mysql_select_db($database);  
$ip = $_SERVER['REMOTE_ADDR'];  
$site = $_POST['site']; 
 
$website = array(1, $s1, $s2, $s3, $s4, $s5); 
 
 
if($site) { 
$wartezeit = $wartezeit * 3600; 
$time = time(); 
$earnedpoints = false;  
$account = $_POST['name'];  
$account = mysql_real_escape_string($account);  
 
 
 
if ($account == "") {  
    echo 'Enter your AccountID!';  
    exit();  
}  
 
 
$query = mysql_query("SELECT *, SUM(`times`) as amount FROM vote WHERE account='$account' OR ip='$ip'");  
$lasttime = mysql_fetch_array($query);  
$amount = $lasttime['amount'];  
$insertnew = false;      
if ($amount == "") {  
    $insertnew = true;  
}  
$timecalc = $time - $lasttime['Site' . $site];  
if (!$insertnew) {  
    if ($timecalc < $wartezeit) {   
         
        echo '<html> 
<head> 
<title>Vote for Coins</title> 
</head> 
<body background="bg.jpg" text="grey" link="#0000CC" vlink="#000066" alink="#000000"> 
<h1>Vote for Us!</h1>'; 
        echo ' Hallo '. $account .' Du hast bereits mit diesem Account: ('. $account .') oder deiner IP: ('. $ip .') in den letzten ' . $wartezeit / 3600 . ' Stunden bereits gevotet.!';  
        echo ' <br><br>Letzter Vote am: '. date('M d\, h:i:s A', $lasttime['Site' . $site]) .'';  
        echo '<html>';  
        echo '<head>';  
        echo '</head>';  
        echo '<body>';  
        echo '</body>';  
        echo '</html>';  
        exit();  
    } else {                  
        $update = mysql_query("UPDATE vote SET account='$account', Site" . $site . "='$time', times=times+1 WHERE ip='$ip'");  
            if (!$update) {  
                $message  = 'Invalid query: ' . mysql_error() . "\n";  
                $message .= 'Whole query: ' . $update;  
                die($message);  
            } else {  
                $earnedpoints = true;  
            }  
        }  
} else {  
    $success = mysql_query("INSERT INTO vote (`account`, `ip`, `Site" . $site . "`, `times`) VALUES ('$account', '$ip', '$time', 1)");  
    if (!$success) {  
            $message  = 'Invalid query: ' . mysql_error() . "\n";  
            $message .= 'Whole query: ' . $success;  
            die($message);  
    } else {  
        $earnedpoints = true;  
    }  
}  
 
 
 
 
if ($earnedpoints) {  
    $points = mysql_query("UPDATE account.account SET coins = coins + " . $coins . " WHERE login='$account'");                 
    if (!$points) {  
 
            $message  = 'Invalid query: ' . mysql_error() . "\n";  
            $message .= 'Whole query: ' . $query;  
            die($message);  
    }  
    mysql_close($conn); 
    header("Location: http://" . $website[$site] . ""); 
    exit(); 
  
} else {  
    echo 'There was an error processing your request.';  
    exit();  
}  
 
} 
?> 
 
 
 
<html> 
<head> 
<title>Vote for Coins</title> 
</head> 
<body background="bg.jpg" text="grey" link="#0000CC" vlink="#000066" alink="#000000"> 
<h1>Vote for Us!</h1> 
<center> 
<font color="grey"><i>Du bekommst Pro Vote: <?php echo $coins; ?> Coins und du kannst alle <?php echo $wartezeit;?> Stunden voten.<br> 
<br>Du kannst auf jeder Seite einmal Voten! </i><br /> </font> 
<form action="" method="POST"> 
<table cellspacing=1 cellpadding=5> 
<tr> 
<td class=list><input type="radio" name="site" value="1"> Vote 1</td> 
<td class=list><input type="radio" name="site" value="2"> Vote 2</td> 
<td class=list><input type="radio" name="site" value="3"> Vote 3</td> 
<td class=list><input type="radio" name="site" value="4"> Vote 4</td>   
<td class=list><input type="radio" name="site" value="5"> Vote 5</td>     
</tr> 
</table> 
 
 
<table cellspacing=1 cellpadding=5> 
<tr><td class=list align=right><font size="5"><b>AccountID:</b></font></td><td class=list><input type=text name=name maxlength="15"></td></tr>  
<tr><td class=listtitle align=center colspan=2><input type="image" src="vote.png" alt="Absenden"></td></tr>  
</form>  
</table>  
</center>  
</body> 
</html>

Wir haben lediglich die Logindetails angepasst und noch einige Texte. Dann haben wir noch die letzten vier Voteseiten gelöscht, da wir bis jetzt nur auf einer Seite vertreten sind.

Wer kann helfen?

MfG

P.S: Wir suchen auch ein Script, wo man einfach nur auf den Button klickt (Vote4Coins) und ohne auf eine externe Seite weitergeleitet zu werden, wo man nocheinmal auf Voten klicken muss, direkt auf die Voteseite weitergeleitet wird. Gibt es da villeicht eins?

ebert.tonna · 06/01/2013, 14:16

Na freu dich doch, immerhin verschenkst du ja immer wieder bares Geld wenn du Vote 4 Coins anbietest, das du deinen Rang in der Topliste änderst hilft dir auch nicht weiter.

Bau dein System auf Vote 4 Items um, dann haste darüber eine bessere Kontrolle und die User können nichts mehr manipulieren.

Vote4Coins iss die bekloppteste Idee des Jahrhunderts und alle machen mit ..xd
Gangnam Style .... ein Hype der auch vorbei ist.

Heutzutage schau kein Geier mehr auf die Topliste, weil jeder der heutzutage noch Metin2 spielt, jeden Server kennt.
Also warum den Kindern Geld schenken, das kannste dann auch den Obdachlosen geben die brauchen das eher.

Yiv · 06/01/2013, 14:23

Hmm... mal sehen. Aber bei Vote4Items kann man den Paramteter genauso ändern (andere ID whatever)...

Unsere Spieler wollten ein Vote4Coins und uns geht es nicht ums Geld. Jedoch müssen wir den Server auch finanzieren, sind daher an die Spender angewiesen.

MfG

Zander# · 06/01/2013, 14:30

Mit "TamperData" lässt sich sowas ändern
wurde früher bei den China-PServern angewendet :P

Coniesan · 06/01/2013, 15:29

Naja, dass man die Acc id von Hand eintragen kann/muss ist denke ich die größte Sicherheitslücke...

#Edit, wenn ihr euer System ändern wollt usw pn me in Skype könnte/würde euch helfen!