Дырявые два Гига, или о том как индусы реализуют ТЗ на китайском

16 Фев
2012

Весь 2012 объявлен годом DropBox’a, и эвенты с последним протекают чуть реже, чем митинги в Москве. Возможно это как-то связано, кто знает. Но вот очередная раздача халявы, которую нашли наши Блоговцы. В час ночи 20 тысяч красноглазых Блогавчан полезли смотреть кто и как раздает облако кусками по 2 гигабайта. Чего греха таить — я тоже полез. Любознательность, однако.

Что нарыл — под блогокатом.


b.l.d.t.0.c.f.w.i.u.2.8.


Естественно, первое что мне открылось-это обычное поле ввода для почты. С небольшой стандартной проверкой на правильность символов. Причем проверка была только на клиентской стороне. Кроме поля с почтой и сабмита форма не передавала ничего. Кроме того, в результатах обработки формы оказалась обычная страничка, без редиректа. Что за нубство, подумал я и нажал F5. На почту прилетел второй промокод. Слегка офигев, и прикинув что это быстро прикроют, потеребил желанную кнопочку еще немного и полез смотреть что с кодами. Все коды состоят из 12 символов. Подобрать их перебором фактически нереально, хотя народ и пробует. Говорят, прокатывает.

c_6_t_d_h_m_g_o_n_4_i_s


Война с китайцами началась в 4-5 утра. Для начала они попросили индусов проверять, что поле, в котором указан телефон не пустое. Ссылка
/3DropBox/3DropBox_Registration.do?lang=eng&Mobile=
которую заранее приготовил топикстартер, перестала давать промокод. Но как и все написанное индусами это было совершенно дыряво, и решалось одной кавычкой. Наролив еще пару кодов по ссылке с кавычкой я затаился и стал ждать. Перебор телефонных номеров через подстановку цифр в запрос небольшим скриптом был отложен на пару часов.

j s k 8 z z k 6 6 z u x


В это время большая часть народа наткнулась на непроходимую защиту индусов и перетекла в чат, ссылку на который все так же любезно предоставил топикстартер.

s-w-h-3-2-2-m-m-1-1-e-3-


В чате коды разлетались как горячие пирожки, развернулась настоящая борьба в которой выигрывал быстрейший. Через некоторое время коды стали слегка кодировать перед вбросом, доходило даже до небольших квестов…

_b13_z10_v9d_ip3_


А в это время Индусы предлагают ограничить трафик к скрипту только китайскими IP, и (ура) прилепляют нормальную проверку на телефонный номер. Но, к сожалению, скрипт обработки формы все еще принимает сколь-угодно-много-раз правильный запрос, и валит вам на почту кучу промокодов. Уже раздав их в чате приличное количество, делюсь с Блогавчанами уловом и призываю не делать таких элементарных ошибок.

1. Не позволяйте своим скриптам обрабатывать одну и ту же форму два раза. (капчи самой простой будет достаточно)
2. Не забывайте делать элементарную страничку с редиректом сразу после обработки данных.
3. Всегда помните, что русские готовы отдать любые деньги, лишь бы получить халяву.

И чтобы не превращать топик в склад, еще парочка из улова. Буду потихоньку подкидывать остатки в чат жабера. Тут лички не доступны.

sm6r-x9yk-ii8e
u8hq-jzed-wt5y

Всем приятного дня!
По материалам Хабрахабр.



загрузка...

Комментарии:

Наверх