URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 12314
[ Назад ]

Исходное сообщение
"Каталог Программ: cherry ISP billing"
Отправлено auto_prog , 27-Сен-05 09:39

Модульная Open source биллинговая система с функциями мониторинга сети. Используется Perl, PostgreSQL. На данный момент реализованы модули для учета услуг интернет (трафик, время, диалап, pppoe, vpn), услуг voip (терминация и оригинация), телефонии, карты экспресс оплаты, дилеры, платежи, счета, договора и т.д. Система объемная (tar.gz архив 9 Мб.), к сожалению какая-либо документация отсутствует.
URL: ftp://ftp.t72.ru/pub/unix/cherry/
Обсуждается: http://www.opennet.me/prog/info/2235.shtml

Содержание

cherry ISP billing,Kodeks, 09:39 , 27-Сен-05
cherry ISP billing,rz, 21:20 , 13-Ноя-05
cherry ISP billing,KisaSoft, 10:56 , 23-Ноя-05
cherry ISP billing,mcout, 13:28 , 02-Дек-06
cherry ISP billing,Denis, 22:31 , 22-Авг-08

Сообщения в этом обсуждении

"cherry ISP billing"
Отправлено Kodeks , 27-Сен-05 09:39

у кого-нибудь есть опыт установки этой штуки?

"cherry ISP billing"
Отправлено rz , 13-Ноя-05 21:20

Немного опыта описано здесь: http://forum.nag.ru/viewtopic.php?t=10875&start=15

"cherry ISP billing"
Отправлено KisaSoft , 23-Ноя-05 10:56

Сделан сайтик проекта и форум.
http://cherry.aisp.ru/
и
http://forum.aisp.ru/index.php?c=5

"cherry ISP billing"
Отправлено mcout , 02-Дек-06 13:28

Здравствуйте, товарищи.

Рад вам сообщить, что в биллинге cherry обнаружена огромная дыра, за это скажите спасибо глубокоуважаемому разработчику Короленко Евгению Александровичу.

Аффтор забыл или специально не захотел защитить chery от sql-иньекций, что было обнаружено мною вчера вечером.

Например, открываем форму проверки состояния лицевого счета и в поле логин вводим:

'; begin; update base_clients set balance = 20000 where client_id=1716; commit; select * from pay_card_services where 'a'='

20000 – это сумма на балансе
1716 – номер лицевого счета.

Отправляем форму на сервер и на нужном счете 20000 рублей. Все! Используем инет за счет провайдера, устраиваем новогоднюю акцию – каждому абоненту трафик на 1000000 рублей в подарок от Деда Мороза и т.п.

Если захотеть, то и логи почистить можно или вообще базу очистить, так как никаких препятствий к этому нет.

Вот и все. До свидания. Или как говорил Терминатор: «Hasta la vista, cherry». Бугагагга.

"cherry ISP billing"
Отправлено Denis , 22-Авг-08 22:31

Вот решение проблемы. Привожу цитату с оффициального форума Cherry.
Здесь может помочь следующая проверка в начале файлов *_commit.tpl (в каталоге html)
$check_name = 0;
if ( $user_id =~ /\W+/ ) {
$check_name = 1;
}
if($check_name) {
?>
<script>alert('Ошибка, не верное имя пользователя.');
history.back();
</SCRIPT>
<?
exit;
}
И еще можно установить ограничение на количество вводимых символов в $user_id (например MAXLENGTH=10) .

Cherry-биллинг на sourceforge:
http://sourceforge.net/project/showfiles.php?group_id=184964...