Вход для пользователя      Регистрация пользователя


ОтветитьСоздать новую темуСоздать новое голосование

Каскадный · [ Стандартный ] · Линейный

> mozgpatrika претензия 2300$

yakudza Ответить!
post 27.05.2017, 21:27
Отправлено #1


мегабайт
***

Группа: Пользователь
Сообщений: 70
Регистрация: 01.10.2014
Пользователь №: 57 763
Деятельность: другое

Репутация: 0
( 0% )


ответчик- mozgpatrika , https://forum.exploit.in/index.php?showuser=65561
- контакты: patrikst@exploit.I'm
сумма притезнии $2030$ (1500$+530$)
Договорились с человеком о создании шопа сс на основе апи.
Человек сдал сырой продукт. После запуска шопа , шоп был взломан и угнали 530$ с баланса. После чего он обещал проверить еще раз шоп на уязвимости и потереть дыры. Говорил что опыт большой по созданию таких проектов, странно тогда что элементарные ошибки были допущены.
Моя претензия составлянт 2030$ из них 1500$ создание шопа, и 530$ то что угнали через пару дней просле сдачи проекта.
Вариант решение проблемы с моей стороны- Или потирает дыры в шопе и я дальше сам разбираюсь спроектом. или возврат в полной сумме. Мне такой шоп от "опытного" кодера с огромным опытом работы по таким проектам, не нужен.
После этой проблемы обещал посмотреть - закрыть дыры. морозит 3-й день.
немного логов
[07.05.2017 10:52:19] <Заказать сайт> по функционалу все стандартно? Как у обычного шопа?
[07.05.2017 10:52:25] <general> да
[07.05.2017 10:53:15] <general> реально сделать такой проект? ты возьмешься?
[07.05.2017 10:53:53] <Заказать сайт> Конечно, я уже давно делаю такие, у меня есть шоп пп и ба, шоп дедиков. Они в продаже висят у меня. Сейчас скажу цену по твоему шопу сс
**********************************************************
Пользователь offlineПрофайлОтправить личное сообщение
Вернуться к началу страницы
+Цитировать сообщение
mozgpatrika Ответить!
post 27.05.2017, 21:50
Отправлено #2


RIPPER
*

Группа: КИДАЛА
Сообщений: 16
Регистрация: 05.12.2015
Пользователь №: 65 561
Деятельность: кардинг

Репутация: -1
( 1% - плохо )


До заказчика не доходили мои сообщения, в которых я просил доступ к серверу, скрины что я ему писал, я предоставил. Никто никого не морозит.
Доступ теперь получил. Все исправим


--------------------
Блек: https://forum.exploit.in/index.php?showtopic=122443

// С уважением,
// администрация
Пользователь offlineПрофайлОтправить личное сообщение
Вернуться к началу страницы
+Цитировать сообщение
yakudza Ответить!
post 27.05.2017, 22:49
Отправлено #3


мегабайт
***

Группа: Пользователь
Сообщений: 70
Регистрация: 01.10.2014
Пользователь №: 57 763
Деятельность: другое

Репутация: 0
( 0% )


Ждем.
Пользователь offlineПрофайлОтправить личное сообщение
Вернуться к началу страницы
+Цитировать сообщение
Arbitr Ответить!
post 29.05.2017, 22:52
Отправлено #4


Arbitr
**********

Группа: Модератор
Сообщений: 2 363
Регистрация: 20.10.2014
Из: Krung Thep
Пользователь №: 58 100
Деятельность: хакинг

Репутация: 284
( 31% - хорошо )


Как у Вас продвигаются дела?


--------------------
Все сделки проводить только через этот профиль.!!
Все вопросы так же только через этот профиль.!!
Я ни за кого не ручаюсь, и никого не курирую!!

Jabber: arbitr@exploit.im
Пользователь online!ПрофайлОтправить личное сообщение
Вернуться к началу страницы
+Цитировать сообщение
Tract0 Ответить!
post 30.05.2017, 01:25
Отправлено #5


Quo quisque sapientior est, eo solet esse modestior
******

Группа: Пользователь
Сообщений: 398
Регистрация: 25.04.2013
Пользователь №: 48 987
Деятельность: другое

Репутация: 25
( 3% - хорошо )


ИМХО 530$ он сам-же и слил
просто сами подумайте...
шоп которому пару дней и сразу взлом blink.gif
он сам оставил дыры и сам слил $
это мое личное мнение.
з.ы да и ещё его акк похж на мульта.
Пользователь offlineПрофайлОтправить личное сообщение
Вернуться к началу страницы
+Цитировать сообщение
gelik Ответить!
post 30.05.2017, 05:08
Отправлено #6


байт
*

Группа: Пользователь
Сообщений: 8
Регистрация: 17.04.2017
Пользователь №: 78 491
Деятельность: другое

Репутация: нет
( 0% )


поскольку занимаюсь разработкой подобных шопов, внесу пару комментариев (надеюсь полезных).

1) баланс шопа никогда не хранится в шопе, это всегда отдельный акк на каком нибудь блокчейне, коинбейсе, вебмани и т.д., соответственно говорить что слили бабло с шопа это не совсем корректно. Слили бабло с платежки, имея доступ к ней. Соответственно нужно копать в сторону настроек шопа, в которых указывается логин пасс и по возможности уходить от такой схемы оплаты. В виде решения - апи коинбейса, в котором генерятся ключи с ограниченными правами, позволяющими принимать платежи, но без возможности слива баланса на другой акк.

2) есть вероятность брута логинов паролей административной группы шопа, после чего появляется доступ к настройкам шопа, после чего смотрим п.1. Лечится обычной капчей, динамическим урлом админки, ну и просто скриптом антибрута, который приводит попытку брута в блек лист по адресу, что существенно осложняет брут, ибо количество проксей не безлимитно.
Пользователь offlineПрофайлОтправить личное сообщение
Вернуться к началу страницы
+Цитировать сообщение
yakudza Ответить!
post 30.05.2017, 23:42
Отправлено #7


мегабайт
***

Группа: Пользователь
Сообщений: 70
Регистрация: 01.10.2014
Пользователь №: 57 763
Деятельность: другое

Репутация: 0
( 0% )


Отдал шоп на аудит. Кодер-автор шопа не смог выявит и решить проблему. Как с ним поступить незнаю . Решение за арбитром. Мое мнение что он должен скинуть хоть какойто компенс за созданные проблемы. не верю я что человек занимающийся давно такими проектами не смог найти баг и исправить его.

Сообщение отредактировал yakudza - 31.05.2017, 00:39
Пользователь offlineПрофайлОтправить личное сообщение
Вернуться к началу страницы
+Цитировать сообщение
yakudza Ответить!
post 31.05.2017, 10:10
Отправлено #8


мегабайт
***

Группа: Пользователь
Сообщений: 70
Регистрация: 01.10.2014
Пользователь №: 57 763
Деятельность: другое

Репутация: 0
( 0% )


Вобщем 600$ трачу на аудит + 530$ + 100$ было снято с баланса.
Итог- 1230$ прошу вернуть. Решение за арбитром. За разработку сайта пусть оставит себе.
Пользователь offlineПрофайлОтправить личное сообщение
Вернуться к началу страницы
+Цитировать сообщение
mozgpatrika Ответить!
post 31.05.2017, 22:08
Отправлено #9


RIPPER
*

Группа: КИДАЛА
Сообщений: 16
Регистрация: 05.12.2015
Пользователь №: 65 561
Деятельность: кардинг

Репутация: -1
( 1% - плохо )


Только что прочитал,я на экспе практически не сижу. Ты зря на меня гонишь сейчас. Ты бы мог меня обвинить в чем-то если бы ты мне поручил обслуживать шоп, я даже сдать его толком не успел тебе, дорабатывали еще админку. И если у тебя что-то слили, то я за это отвечать не могу, как тебе отписали что никто не даст гарантий, что шоп не взломают. И да, если бы я хотел что-то слить, я бы это не делал так палевно уж точно.
Я создаю сайты, я не хакер, я не могу знать уязвимости, к сожалению. Любой проект должен всегда дорабатываться, и всегда нужно его обслуживать, следить и т.д. Никто, никогда не сдаст тебе проект, который ты запустили и забыли, и оплачивашь только домен с хостингом. Тем более подобные проекты, всегда будут под атакой хакеров

Я понимаю, что это неприятная ситуация, но ты заплатил за шоп, я тебе его сделал, причем с нуля. Повторю еще раз, я не знаю уязвимостей шопа, да и речи об этом не шло, как и об обслуживании. Ты запустил сайт, когда мы еще только админку дорабатывали, тебе не терпелось побыстрее. Дырки находят у популярных проектов, даже спустя годы и предусмотреть это невозможно.

Я считаю, что тут нет моей вины, но опять же, сколько людей, столько и мнений


--------------------
Блек: https://forum.exploit.in/index.php?showtopic=122443

// С уважением,
// администрация
Пользователь offlineПрофайлОтправить личное сообщение
Вернуться к началу страницы
+Цитировать сообщение
yakudza Ответить!
post 1.06.2017, 00:28
Отправлено #10


мегабайт
***

Группа: Пользователь
Сообщений: 70
Регистрация: 01.10.2014
Пользователь №: 57 763
Деятельность: другое

Репутация: 0
( 0% )


Меня удивляет совсем другое. Почему человек который "спец" по разговорам в теме создании таких проектов, просто не может понять как слили баланс и не может устранить этот недуг. Хотя сказал что все исправит. Я не кодер мне далека эта тема, но очевидное мне не понятно. Я если разбираюсь в какойто теме я точно пойду клиенту на встречу. Данный кодер даже не смог неайти баг в своем же проекте- не смешло ли?

Бабаки он не отдаст о чем написал мне в личной переписке сославшийсь на малое количество клиентов и финансовой несостоятельностью. Обещал при решении арбитра в мою пользу вернуть деньги работой. Мой вопрос- Какой работой если он не может исправить проблему в своем проекте! Разве что очком своим он расплатиться может. Сори за грубость но осточертела эта тема уже.

Вот тут некоторые пишут- Никто тебе не обещает что в проекте не будет проблем и не появятся баги. Да х*й с ним: никто и не обещал. Но разве вы как кодеры проекта не сможете его отследить и исправить в своем же продукте - в своем детище? Да кто к вам обратиться за работой если вы не можете этого сделать.
Пользователь offlineПрофайлОтправить личное сообщение
Вернуться к началу страницы
+Цитировать сообщение
Arbitr Ответить!
post 2.06.2017, 10:17
Отправлено #11


Arbitr
**********

Группа: Модератор
Сообщений: 2 363
Регистрация: 20.10.2014
Из: Krung Thep
Пользователь №: 58 100
Деятельность: хакинг

Репутация: 284
( 31% - хорошо )


Цитата(yakudza @ 1.06.2017, 00:28)
Меня удивляет совсем другое. Почему человек который "спец" по разговорам в теме создании таких проектов, просто не может понять как слили баланс и не может устранить этот недуг. Хотя сказал что все исправит. Я не кодер мне далека эта тема, но очевидное мне не понятно. Я если разбираюсь в какойто теме я точно пойду клиенту на встречу. Данный кодер даже не смог неайти баг в своем же проекте- не смешло ли?

Бабаки он не отдаст о чем написал мне в личной переписке сославшийсь на малое количество клиентов и финансовой несостоятельностью. Обещал при решении арбитра в мою пользу вернуть деньги работой. Мой вопрос- Какой работой если он не может исправить проблему в своем проекте! Разве что очком своим он расплатиться может. Сори за грубость но осточертела эта тема уже.

Вот тут некоторые пишут- Никто тебе не обещает что в проекте не будет проблем и не появятся баги. Да х*й с ним: никто и не обещал. Но разве вы как кодеры проекта не сможете его отследить и исправить в своем же продукте - в своем детище? Да кто к вам обратиться за работой если вы не можете этого сделать.

Вполне нормальная практика когда кодер не видет ошибки, или даже не знает в каком месте дырка. Если б он знал что там есть уязвимость он б сразу же ее исправил, точнее даже не допустил ее, а так надо сидеть и изучать логи смотреть в каком месте погрешность. Ситуация двояка, yakudza - что ты на данный момент требуешь от ответчика?


--------------------
Все сделки проводить только через этот профиль.!!
Все вопросы так же только через этот профиль.!!
Я ни за кого не ручаюсь, и никого не курирую!!

Jabber: arbitr@exploit.im
Пользователь online!ПрофайлОтправить личное сообщение
Вернуться к началу страницы
+Цитировать сообщение
yakudza Ответить!
post 2.06.2017, 20:38
Отправлено #12


мегабайт
***

Группа: Пользователь
Сообщений: 70
Регистрация: 01.10.2014
Пользователь №: 57 763
Деятельность: другое

Репутация: 0
( 0% )


Хочу вернуть деньги которые были украдены с баланса 630$ + затраты н аудит сайта 600$
Пользователь offlineПрофайлОтправить личное сообщение
Вернуться к началу страницы
+Цитировать сообщение
mozgpatrika Ответить!
post 2.06.2017, 20:57
Отправлено #13


RIPPER
*

Группа: КИДАЛА
Сообщений: 16
Регистрация: 05.12.2015
Пользователь №: 65 561
Деятельность: кардинг

Репутация: -1
( 1% - плохо )


Админы крупных порталов платят деньги сторонним разработчикам, чтобы они нашли их уязвимости, потому что они сами не могут этого сделать и никто не вешает возникшие проблемы на разработчиков, потому что понимают, что сами они не всесильны и не могут все знать.
Apple, Контакт и т.д все платят хакерам, что по твоему там дебилы сидят и не могут найти в своей же работе уязвимости?


--------------------
Блек: https://forum.exploit.in/index.php?showtopic=122443

// С уважением,
// администрация
Пользователь offlineПрофайлОтправить личное сообщение
Вернуться к началу страницы
+Цитировать сообщение
yakudza Ответить!
post 3.06.2017, 19:25
Отправлено #14


мегабайт
***

Группа: Пользователь
Сообщений: 70
Регистрация: 01.10.2014
Пользователь №: 57 763
Деятельность: другое

Репутация: 0
( 0% )


Автор проекта который проводил аудит предлагает скинуть информацию по аудиту арбитру и спросить стоит ли такой шоп 1500$.

После проведенного аудита. Требую полный возврат средств за работу. Такой шоп мне не нужен. Отчет могу прислать арбитру. Пользоваться я таким шопом не буду !!! Там полный пи*ц!!!

Сообщение отредактировал yakudza - 3.06.2017, 19:25
Пользователь offlineПрофайлОтправить личное сообщение
Вернуться к началу страницы
+Цитировать сообщение
mozgpatrika Ответить!
post 3.06.2017, 21:07
Отправлено #15


RIPPER
*

Группа: КИДАЛА
Сообщений: 16
Регистрация: 05.12.2015
Пользователь №: 65 561
Деятельность: кардинг

Репутация: -1
( 1% - плохо )


Речи о безопасности шопа не было никакой,так как я не могу искать уязвимости,могу их только закрыть найденные, тем не менее, я предложил человеку закрыть все что было найдено, после чего он может быть уверен в безопасности. Он этого не захотел. Мне больше нечего сказать. Мне заплатили за шоп, я его сделал и то, что он с багами, я этого не мог гарантировать.


--------------------
Блек: https://forum.exploit.in/index.php?showtopic=122443

// С уважением,
// администрация
Пользователь offlineПрофайлОтправить личное сообщение
Вернуться к началу страницы
+Цитировать сообщение
yakudza Ответить!
post 3.06.2017, 21:10
Отправлено #16


мегабайт
***

Группа: Пользователь
Сообщений: 70
Регистрация: 01.10.2014
Пользователь №: 57 763
Деятельность: другое

Репутация: 0
( 0% )


Предлагаю для начала глянуть арбитру что за шоп он мне впарил. Потом принимать какие то решения.

Просьба обратить внимание на первый ответ ответчика
mozgpatrika- Доступ теперь получил. Все исправим
По итогу ничего не исправленно. Только обращение к RedBear помогло найти все проблемы. Исправлений мне никаких не надо теперь. Без аудита и отчета по нему он даже не понимает суть проблемы где и что нужно доработать. Какой смысл мне брать проект с кучей дыр. Тут разговор идет не об одной ошибке . Тут впарен полный шлак. Предам отчет арбитру- полный по первому обращению. Смотрите делайте выводы.

-----Админы крупных порталов платят деньги сторонним разработчикам, чтобы они нашли их уязвимости, потому что они сами не могут этого сделать и никто не вешает возникшие проблемы на разработчиков, потому что понимают, что сами они не всесильны и не могут все знать.
Apple, Контакт и т.д все платят хакерам, что по твоему там дебилы сидят и не могут найти в своей же работе уязвимости?
Тебе осталось еще сайт пентагона сравнить с шопом сс.
А особенно себя сравнивать с кодерами таких проектов.

Сообщение отредактировал yakudza - 4.06.2017, 16:32
Пользователь offlineПрофайлОтправить личное сообщение
Вернуться к началу страницы
+Цитировать сообщение
Arbitr Ответить!
post 5.06.2017, 11:21
Отправлено #17


Arbitr
**********

Группа: Модератор
Сообщений: 2 363
Регистрация: 20.10.2014
Из: Krung Thep
Пользователь №: 58 100
Деятельность: хакинг

Репутация: 284
( 31% - хорошо )


mozgpatrika - 48 часов на возврат этой сумы = 530$ + 100$ + 300$(половина за аудит).
Итого 930$
Уведомите ответчика по всем контактам.


--------------------
Все сделки проводить только через этот профиль.!!
Все вопросы так же только через этот профиль.!!
Я ни за кого не ручаюсь, и никого не курирую!!

Jabber: arbitr@exploit.im
Пользователь online!ПрофайлОтправить личное сообщение
Вернуться к началу страницы
+Цитировать сообщение
mozgpatrika Ответить!
post 5.06.2017, 13:06
Отправлено #18


RIPPER
*

Группа: КИДАЛА
Сообщений: 16
Регистрация: 05.12.2015
Пользователь №: 65 561
Деятельность: кардинг

Репутация: -1
( 1% - плохо )


Я отказываюсь платить, вину свою не признаю. Я не гарантировал истцу что шоп не взломают, соответственно не нужно на меня перекладывать эту ответственность. В течении всего срока разработки ни слова не было об этом.
Я миллион раз ему говорил, что не могу искать уязвимости и ему нужно будет попросить кого-то проверить и найденные дырки я закрою. После аудита я предложил ему все закрыть, он отказался.
Разработчик и пентестер это две разные специальности.

Сейчас обвинять меня в том что я кидала неправильно. Я сделал ту работу за которую мне заплатили, причем дорабатывал даже бесплатно многие моменты, о которых изначально речи не шло.
А то, что он молча запустил шоп(когда он еще даже сдан не был) без тестирования, это исключительно его проблемы, а не мои.


--------------------
Блек: https://forum.exploit.in/index.php?showtopic=122443

// С уважением,
// администрация
Пользователь offlineПрофайлОтправить личное сообщение
Вернуться к началу страницы
+Цитировать сообщение
antikrya Ответить!
post 5.06.2017, 15:45
Отправлено #19


кряка
******

Группа: Пользователь
Сообщений: 416
Регистрация: 27.02.2014
Пользователь №: 54 129
Деятельность: другое

Репутация: 52
( 6% - хорошо )


Цитата(mozgpatrika @ 5.06.2017, 13:06)
А то, что он молча запустил шоп(когда он еще даже сдан не был) без тестирования, это исключительно его проблемы, а не мои.


по моему это очень важная деталь.
Пользователь offlineПрофайлОтправить личное сообщение
Вернуться к началу страницы
+Цитировать сообщение
RedBear Ответить!
post 5.06.2017, 15:56
Отправлено #20


Мишка Кробов
****

Группа: Специалист
Сообщений: 117
Регистрация: 03.08.2015
Пользователь №: 63 073
Деятельность: хакинг

Репутация: 61
( 7% - хорошо )


Цитата(antikrya @ 5.06.2017, 15:45)
по моему это очень важная деталь.

Почитайте - http://krober.biz/?p=2582
Станет ясно, что и после тестирования картина бы не сильно изменилась.


--------------------
krober.biz - бложик
forum.exploit.in/?showtopic=119928 [ Анализ php-кода на уязвимости ]
Пользователь offlineПрофайлОтправить личное сообщение
Вернуться к началу страницы
+Цитировать сообщение

ОтветитьОпции темыСоздать новую тему
1 чел. читают эту тему (1 Гостей и 0 Скрытых Пользователей)
0 Пользователей:
 

RSS-версия форума PDA-версия форума Сейчас: 25.06.2017 - 10:11
Invision Power Board v2.5 © 2017  IPS, Inc.