Яндекс.Метрика

    Песочница

    Дырявые два Гига, или о том как индусы реализуют ТЗ на китайском

    Весь 2012 объявлен годом DropBox'a, и эвенты с последним протекают чуть реже, чем митинги в Москве. Возможно это как-то связано, кто знает. Но вот очередная раздача халявы, которую нашли наши Хабровцы. В час ночи 20 тысяч красноглазых Хабравчан полезли смотреть кто и как раздает облако кусками по 2 гигабайта. Чего греха таить — я тоже полез. Любознательность, однако.

    Что нарыл — под хаброкатом.

    b.l.d.t.0.c.f.w.i.u.2.8.


    Естественно, первое что мне открылось-это обычное поле ввода для почты. С небольшой стандартной проверкой на правильность символов. Причем проверка была только на клиентской стороне. Кроме поля с почтой и сабмита форма не передавала ничего. Кроме того, в результатах обработки формы оказалась обычная страничка, без редиректа. Что за нубство, подумал я и нажал F5. На почту прилетел второй промокод. Слегка офигев, и прикинув что это быстро прикроют, потеребил желанную кнопочку еще немного и полез смотреть что с кодами. Все коды состоят из 12 символов. Подобрать их перебором фактически нереально, хотя народ и пробует. Говорят, прокатывает.

    c_6_t_d_h_m_g_o_n_4_i_s


    Война с китайцами началась в 4-5 утра. Для начала они попросили индусов проверять, что поле, в котором указан телефон не пустое. Ссылка
    /3DropBox/3DropBox_Registration.do?lang=eng&Mobile=
    которую заранее приготовил топикстартер, перестала давать промокод. Но как и все написанное индусами это было совершенно дыряво, и решалось одной кавычкой. Наролив еще пару кодов по ссылке с кавычкой я затаился и стал ждать. Перебор телефонных номеров через подстановку цифр в запрос небольшим скриптом был отложен на пару часов.

    j s k 8 z z k 6 6 z u x


    В это время большая часть народа наткнулась на непроходимую защиту индусов и перетекла в чат, ссылку на который все так же любезно предоставил топикстартер.

    s-w-h-3-2-2-m-m-1-1-e-3-


    В чате коды разлетались как горячие пирожки, развернулась настоящая борьба в которой выигрывал быстрейший. Через некоторое время коды стали слегка кодировать перед вбросом, доходило даже до небольших квестов…

    _b13_z10_v9d_ip3_


    А в это время Индусы предлагают ограничить трафик к скрипту только китайскими IP, и (ура) прилепляют нормальную проверку на телефонный номер. Но, к сожалению, скрипт обработки формы все еще принимает сколь-угодно-много-раз правильный запрос, и валит вам на почту кучу промокодов. Уже раздав их в чате приличное количество, делюсь с Хабравчанами уловом и призываю не делать таких элементарных ошибок.

    1. Не позволяйте своим скриптам обрабатывать одну и ту же форму два раза. (капчи самой простой будет достаточно)
    2. Не забывайте делать элементарную страничку с редиректом сразу после обработки данных.
    3. Всегда помните, что русские готовы отдать любые деньги, лишь бы получить халяву.

    И чтобы не превращать топик в склад, еще парочка из улова. Буду потихоньку подкидывать остатки в чат жабера. Тут лички не доступны.

    sm6r-x9yk-ii8e
    u8hq-jzed-wt5y

    Всем приятного дня!