Песочница →
Дырявые два Гига, или о том как индусы реализуют ТЗ на китайском
Весь 2012 объявлен годом DropBox'a, и эвенты с последним протекают чуть реже, чем митинги в Москве. Возможно это как-то связано, кто знает. Но вот очередная раздача халявы, которую нашли наши Хабровцы. В час ночи 20 тысяч красноглазых Хабравчан полезли смотреть кто и как раздает облако кусками по 2 гигабайта. Чего греха таить — я тоже полез. Любознательность, однако.
Что нарыл — под хаброкатом.
Естественно, первое что мне открылось-это обычное поле ввода для почты. С небольшой стандартной проверкой на правильность символов. Причем проверка была только на клиентской стороне. Кроме поля с почтой и сабмита форма не передавала ничего. Кроме того, в результатах обработки формы оказалась обычная страничка, без редиректа. Что за нубство, подумал я и нажал F5. На почту прилетел второй промокод. Слегка офигев, и прикинув что это быстро прикроют, потеребил желанную кнопочку еще немного и полез смотреть что с кодами. Все коды состоят из 12 символов. Подобрать их перебором фактически нереально, хотя народ и пробует. Говорят, прокатывает.
Война с китайцами началась в 4-5 утра. Для начала они попросили индусов проверять, что поле, в котором указан телефон не пустое. Ссылка
/3DropBox/3DropBox_Registration.do?lang=eng&Mobile=
которую заранее приготовил топикстартер, перестала давать промокод. Но как и все написанное индусами это было совершенно дыряво, и решалось одной кавычкой. Наролив еще пару кодов по ссылке с кавычкой я затаился и стал ждать. Перебор телефонных номеров через подстановку цифр в запрос небольшим скриптом был отложен на пару часов.
В это время большая часть народа наткнулась на непроходимую защиту индусов и перетекла в чат, ссылку на который все так же любезно предоставил топикстартер.
В чате коды разлетались как горячие пирожки, развернулась настоящая борьба в которой выигрывал быстрейший. Через некоторое время коды стали слегка кодировать перед вбросом, доходило даже до небольших квестов…
А в это время Индусы предлагают ограничить трафик к скрипту только китайскими IP, и (ура) прилепляют нормальную проверку на телефонный номер. Но, к сожалению, скрипт обработки формы все еще принимает сколь-угодно-много-раз правильный запрос, и валит вам на почту кучу промокодов. Уже раздав их в чате приличное количество, делюсь с Хабравчанами уловом и призываю не делать таких элементарных ошибок.
1. Не позволяйте своим скриптам обрабатывать одну и ту же форму два раза. (капчи самой простой будет достаточно)
2. Не забывайте делать элементарную страничку с редиректом сразу после обработки данных.
3. Всегда помните, что русские готовы отдать любые деньги, лишь бы получить халяву.
И чтобы не превращать топик в склад, еще парочка из улова. Буду потихоньку подкидывать остатки в чат жабера. Тут лички не доступны.
sm6r-x9yk-ii8e
u8hq-jzed-wt5y
Всем приятного дня!
Что нарыл — под хаброкатом.
b.l.d.t.0.c.f.w.i.u.2.8.
Естественно, первое что мне открылось-это обычное поле ввода для почты. С небольшой стандартной проверкой на правильность символов. Причем проверка была только на клиентской стороне. Кроме поля с почтой и сабмита форма не передавала ничего. Кроме того, в результатах обработки формы оказалась обычная страничка, без редиректа. Что за нубство, подумал я и нажал F5. На почту прилетел второй промокод. Слегка офигев, и прикинув что это быстро прикроют, потеребил желанную кнопочку еще немного и полез смотреть что с кодами. Все коды состоят из 12 символов. Подобрать их перебором фактически нереально, хотя народ и пробует. Говорят, прокатывает.
c_6_t_d_h_m_g_o_n_4_i_s
Война с китайцами началась в 4-5 утра. Для начала они попросили индусов проверять, что поле, в котором указан телефон не пустое. Ссылка
/3DropBox/3DropBox_Registration.do?lang=eng&Mobile=
которую заранее приготовил топикстартер, перестала давать промокод. Но как и все написанное индусами это было совершенно дыряво, и решалось одной кавычкой. Наролив еще пару кодов по ссылке с кавычкой я затаился и стал ждать. Перебор телефонных номеров через подстановку цифр в запрос небольшим скриптом был отложен на пару часов.
j s k 8 z z k 6 6 z u x
В это время большая часть народа наткнулась на непроходимую защиту индусов и перетекла в чат, ссылку на который все так же любезно предоставил топикстартер.
s-w-h-3-2-2-m-m-1-1-e-3-
В чате коды разлетались как горячие пирожки, развернулась настоящая борьба в которой выигрывал быстрейший. Через некоторое время коды стали слегка кодировать перед вбросом, доходило даже до небольших квестов…
_b13_z10_v9d_ip3_
А в это время Индусы предлагают ограничить трафик к скрипту только китайскими IP, и (ура) прилепляют нормальную проверку на телефонный номер. Но, к сожалению, скрипт обработки формы все еще принимает сколь-угодно-много-раз правильный запрос, и валит вам на почту кучу промокодов. Уже раздав их в чате приличное количество, делюсь с Хабравчанами уловом и призываю не делать таких элементарных ошибок.
1. Не позволяйте своим скриптам обрабатывать одну и ту же форму два раза. (капчи самой простой будет достаточно)
2. Не забывайте делать элементарную страничку с редиректом сразу после обработки данных.
3. Всегда помните, что русские готовы отдать любые деньги, лишь бы получить халяву.
И чтобы не превращать топик в склад, еще парочка из улова. Буду потихоньку подкидывать остатки в чат жабера. Тут лички не доступны.
sm6r-x9yk-ii8e
u8hq-jzed-wt5y
Всем приятного дня!
17.02.2012 00:05+0400