1. PHP / Говнокод #26514

    0

    1. 01
    2. 02
    3. 03
    4. 04
    5. 05
    6. 06
    7. 07
    8. 08
    9. 09
    10. 10
    11. 11
    12. 12
    13. 13
    14. 14
    15. 15
    16. 16
    17. 17
    18. 18
    19. 19
    20. 20
    <div class="choose_payment">
                    	<div class="title"><span>2</span>Выберите способы оплаты (все без комиссии)</div>
                        <!-- all terminals -->
                        <div class="all_terminals">
                              <!-- fike: конечно же тут были все терминалы, а вы как думали? -->
                        </div>        
    					<!-- payments. no commisson -->
                       <div class="no_commission"><label>
                        	<div class="title_no_commission"><i>Подсказка:</i></div>
                            
                            <div class="we_recommend_2">
                            	<div class="title_we_recommend_2">
    					Оплачиваете первый раз?<br>
    					наши специалисты ответят на все вопросы <br>
    					<!--?phpphp echo preg_replace("/([0-9]{1})([0-9]{3})([0-9]{3})([0-9]{2})([0-9]{2})/", "+$1 ($2) $3-$4-$5", SUPPORT_PHONE); ?--> ежедневно с 10:00 до 19:00
    				</div>
                            </div>
    						</label>
                        </div>
                    </div>

    А впрочем нет, не ответят

    Запостил: Fike, 20 Марта 2020

    Комментарии (23) RSS

    • если присмотреться особенно пристально - можно увидеть, что табы смешаны с пробелами
      Ответить
      • и всё это, конечно, на сайте, который берет у вас деньги за то, чтобы бездельники не брали ваши деньги

        http://stopagent.ru/spb
        Ответить
        • а у них там и биллинг ничего такой
          Название		Описание	
          ----------------------------------------
          Целое			Целое	
          Длинное целое	Длинное целое

          https://help.paysto.com/kb/a229/api-billing.aspx#p20

          > Проверяйте SSL сертификат ответившего сервера.
          штоа?

          https://help.paysto.com/kb/a229/api-billing.aspx#p32
          Ответить
          • HTTP CODE	Значение (Content)		Описание
            200		YES				Платеж зачислен.
            200		Любое другое значение		Вернуть принятые средства для этого Id Плательщика


            Платёж прошел, отменяй платёж
            Ответить
            • > Проверяйте SSL сертификат ответившего сервера.
              PKI? СA? не, не слышал.
              Пиздец они исперды конечно
              Ответить
          • продолжаю хуеть с людей, которые работают с деньгами, но при этом у них нету dmarc и нету hsts.
            Ответить
            • какой hsts? там серьёзная криптографическая защекуита, md5-подписи
              Ответить
              • >одпись MD5 (обязательно)
                ахахахахахахаха, пиздец

                [quote]
                В конец полученной строки приклеивается значение секретного ключа (указывается при регистрации магазина).
                Например, должно получиться «Название1=Значение1& Название2=Значение2&СекретныйКлюч»
                [/quote]
                и от этого береца MD5.

                Мамин HMAC
                Ответить
                • > в конец полученной строки

                  Ну хоть не в начало...
                  Ответить
                  • На самом деле все параметры всё равно известны и задокументированы. Неизвестен только ключ.

                    Если клиент не будет проверять IP вручную, то мужик-по-середине может накопить достаточное количество пар

                    (param1=value1, md5(param1=value1&some_key))

                    чтобы высчитать some_key
                    Ответить
                • > hmac

                  Именно поэтому я за sha-3 где можно тупо клеить секретный ключ с любой стороны и течь от секьюрности без этих ваших hmac'ов.
                  Ответить
                  • [ванишд]

                    раскрой тему plz
                    Ответить
                    • Да там ядро вообще универсальное - и хеш и mac и генератор случайных чисел и симметричный шифр... И яйца себе хер отстрелишь в отличие от md5, sha1 или sha2.

                      > раскрой тему

                      Оно не подвержено extension attack в отличие от старых хешей, у которых выхлоп был тупо равен стейту алгоритма.
                      Ответить
                      • а, то-есть это не я должен всё руками собирать, и потом спроваживать нужные данные в hash, а оно само? звучит хорошол

                        >Оно не подвержено extension attack в
                        оймама, то-есть я 3 раза вызову sha3 и три раза получу разные значения, бо оно само возьмет случайное число и само себя посолит?

                        воу, надо почитать
                        Ответить
                      • всё, понял.
                        там аутпут из губки разной длины, и потому дописать в говна в конец не получится.
                        Ответить
                        • Именно так. А ещё можно юзать этот аутпут как псевдорандомный стрим и шифровать им что-нибудь.
                          Ответить
              • Вообще в данном конкретном случае я бы решил проблему тупо выдав каждому клиенту сертификат. Либо попросив клиента сгенерить приватный/публичный ключ, и публичный загрузил бы на сервер.

                И использовал бы реализацию TLS (или SSH), и конечно бы взял криптонаборы минимум с sha512, а не заставлял бы клиента руками чото там куда-то клеить и брать md5 и ключ блять какой-то вводить.

                За одно и сервер было бы проще валидировать: не по IP, а по ключу блядь.

                А тут люди синей изолентой прикрутили хлебный мякиш к спице, и сделали троллейбус
                Ответить
                • > выдав сертификат
                  > сгенерить ключ
                  > TLS
                  > sha512

                  И как пхпшники будут всё это юзать? На бесплатном хостинге явно не взлетит. То ли дело MD5.
                  Ответить
                  • Я не очень пхп, но разве curl например всё это не умеет?
                    $ ldd $(which curl) | grep ssl
                            libssl.so.1.1 => /usr/lib/x86_64-linux-gnu/libssl.so.1.1 (0x00007f1806077000)


                    ключ можно сгеенрить через веб морду, дать скачать, и сразу удалить
                    AWS в такое умеет


                    ps: Борманд, всё ништяк
                    https://stackoverflow.com/questions/11308270/using-curl-in-php-with-client-certificate-and-private-key-in-separate-files?answertab=votes#tab-top


                    чтоб не писать ручками -- ну сделайте готовую либу, положите туда, откуда там этот ихний компостер дерьмо льет
                    Ответить
                    • Другой вопрос, что на шаредхостинге может быть openssl 0.9.7, ну так знаете там и php 4 может быть. Нищебродам один хуй такие сервисы не нужны
                      Ответить
                • сертификат? мне нужно проходить какие-то ёбаные курсы, чтобы принимать через вас платежи?
                  Ответить
                  • Да, возможно что в мире пыха люди не знакомы даже с основами криптографии
                    Ответить
          • <img src="https://www.paysto.com/wp-content/uploads/revslider/p19-api/rs-api-module.png" alt="API Paysto" width="204" height="336" data-no-retina="" data-src-rs-ref="https://www.paysto.com/wp-content/uploads/revslider/p19-api/rs-api-module.png" style="height: 100%; width: 100%;">


            оооооо вордпресс-разработчика порвало )))
            Ответить

    Добавить комментарий