Algo gracioso en hackweb_carrito

Iniciado por Carloswaldo, 4 Junio 2008, 23:40 PM

0 Miembros y 1 Visitante están viendo este tema.

AlbertoBSD

Yo sigo sin pasarla, y eso que ya he pasado mas dificiles

Cita de: MasterPunk en 21 Diciembre 2008, 15:04 PM
yo probé a poner que quiero 0,25 camisetas jajaja


No funciona!! ahora te tu camisa prefieres las mangas, o parte de la espalda ?

Cita de: дٳŦ٭ en 22 Diciembre 2008, 07:04 AM
sdc es rico!! xDDD

Ya confiesa que eres hijo de slim  :¬¬

en serio !!!  :xD
Donaciones
1Coffee1jV4gB5gaXfHgSHDz9xx9QSECVW

sirdarckcat

alguien hace tiempo encontro un error en la conversion de enteros a floats entre php y de alguna forma extra;a logro tener 0 en el carrito xD

no paso la prueba, pero es interesante


y seh! soy rico xD

WHK

Yo tampoco he pasado esa prueba y fijate que si calculas la cantidad de camisetas a llevar para pagar solo 10 te da una cantidad x de decimales en camisetas y aun asi no pasas la prueba porque te tira error, vi un poco la fuente y pude observar que cada ves que modificas los valores se cambia tambien un valor oculto en el formulario, pongo la misma cantidad otro dia en otro explorador y me aparece el mismo valor en ese type=hiden, cuando logré modificar ese valor poniendo como numero de camisetas la cantidad decimal solo para pagar 10 (hasta resté dentro de la misma variable) el carrito me decia "tramposo", supongo que al entender como se genera ese valor oculto que es un número entero ya sea positivo y a veces negativo podrás modificar los valores del formulario para pagar con la cantidad exacta de camisetas y pagar solo $10 desde el mismo firebugs para anteponerse a un bypass contra un csrf. Cual será el sistema para gnerar esa cifra?, traté de decodificar a decimales, hexadecimales, octales, y nada, intenté ver relaciones de n.camisetas y precio multiplicando, dividiendo, sumando, restando pero nada  :¬¬, vi en la pagina anterior al script que envía el último formulario pero ahi solo hay javascript que te redirecciona al sistema del formulario asi que no se aloja ningún valor que pudiera diferenciar entre cada usuario como para poder generar algún tipo de hash. Ahora la solución mas lógica que veo es hacerse pasar por un familiar de sdc y pedirle la respuesta por correo  :P

AlbertoBSD

Aaaa entonces es una prueba de Ingenieria Social  :o eso si amerita mas puntos, por que para hacerse pasar por alguien de la familia de sdc y engañarlo mediante correo electronico, necesitas realizar un MIM y conseguir las llaves PGP y tambien el pass phrase ya que el mantiene todas sus conversaciones cifradas  :rolleyes: Definitivamente la prueba amerita unos 30 Puntos en caso de pasarse de esa manera :xD.

Pero ahora que lo pienso mejor, segun recuerdo la prueba no fue hecha por sdc, si no mas bien por Crack_X asi que no se va a poder aplicar Ingenieria Social  :(.

En fin que mas le hacemos. Yo tambien he estado sumando y restando como loco y pss naaa.

Saludos.
Donaciones
1Coffee1jV4gB5gaXfHgSHDz9xx9QSECVW

sirdarckcat


WHK

Citarjaja seh, fue hecha por crackx :xD
Ahora ya sabemos a quien mandarle los correos  :xD

AlbertoBSD

Lastima que este off...

A si me falta esto:

Citar
:xD

Saludos!!
Donaciones
1Coffee1jV4gB5gaXfHgSHDz9xx9QSECVW

Uxio

Pues yo tambien me he quedado encerrado en esta prueba.

Sin embargo, al php que evalúa si somos tramposos o no, sólo se le envía el número mágico y el total, según creo, así que debe haber alguna relación...

Uxio


AlbertoBSD

Donaciones
1Coffee1jV4gB5gaXfHgSHDz9xx9QSECVW