Баг в хостинге или как делать деньги из воздуха

    Приветствую!


    В то время как зарубежные компании платят за баги, Российские говорят спасибо или вообще нечего не говорят, молча исправив найденную другим человеком ошибку.
    Хочу поделиться тем что происходило на протяжении августовского дня.
    А теперь ближе к делу…
    В один обычный день на одном известном хостинге мною был обнаружен неприятный для них ( и очень даже как приятный для нас) баг.
    При помощи этого бага можно добиться такого результата (даже больше, нас нечего не ограничивает, только совесть)…
    image
    нас интересует баланс который внизу, выделенный в черном квадрате, ведь именно его можно вывести на вебмани и еще недавно там был ноль.
    Дело в том что у этого хостера есть партнерская программа, по которой клиенту перечисляются проценты, с приведенных им, людей.
    Этими деньгами можно:
    • оплачивать хостинг,
    • выводить деньги на вебмани,
    • переводить партнерам,

    во всех ранее упомянутых операциях деньги списываются с бонусного баланса.
    Так вот с первым то у них и проблема. Видимо программисты не посчитали нужным проверять введенные данные, поэтому нам нечего не мешает ввести отрицательную сумму, а как вы помните из курса высшей математики — минус на минус дает плюс, поэтому если оплатить -20 рублей -> к балансу прибавится +20 рублей, а теперь на цифрах:
    было 1287.00 руб.
    оплачиваем на -20руб.
    получаем
    1287 — (-20) = 1307руб.
    не плохо, да?

    image
    правда тут уже платеж проведен, как видите сумма увеличилась на 20 рублей.

    Вывести можно только на вебмани.
    Помните, что вроде бы такая мелочь в коде (а всего лишь стоило написать примерно следующее)
    if (isset($_POST['поле ввода денег для оплаты']) && ($_POST['поле ввода денег для оплаты'] >= 0)){
    //можно проводить транзакцию
    }
    else {
    echo ("ай ай ай");
    }

    может дорого стоить…
    Конечно же, я, как добропорядочный человек, уведомил тех. поддержку хостинга, однако реакция была не моментальной, спасибо я услышал после 4 часов:

    «Здравствуйте. Спасибо что указали на на ошибку. Ваш запрос передан программистам. Мы постараемся устранить проблему в кратчайшие сроки»
    Однако проблема была устранена где то через месяц.
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 45

      +22
      Думаю, они могли Вас премировать хотя бы за то, что Вы не молча гребли деньги лопатой и не продавали баг, как уже было с webmoney и партнерами reg.ru и хостингами, а сообщили им. Могли бы дать безлимитный хостинг или хотя бы на год…
        +1
        самое прикольное, что перевод на вебмани делает не «машина» а бухгалтер =)
        Поэтому и хочется найти баг не в русской системе…
          0
          Вывод средств партнерам, как правило, проходит ручную обработку.
            0
            я это к тому, что это происходит в «слепую», бухгалтер должен проверять что и куда платит…
              +2
              а что это за хостинг-то? :) раскройте секрет
                0
                баг закрыт уже, так что повторить не получится…
                да и люди внизу открывают тайну названия…
        +6
        Поражает еще не оперативность исправления такого бага… Исправлять почти месяц!!! 0_о
          +14
          Пока нашли фрилансера, пока тот их кинул и искали другого за 200 рублей…
          +7
          Жесть какая. Только что проверил на собственных поектах и везде этот косяк присутствует.
            +30
            Тогда вам тоже стоит скинуться на премию ТС =)
              +2
              Не подскажешь, где работаешь?
              +8
              Ради бога, исправьте кучу орфографических ошибок.
                0
                где? если вы про цитату последнюю, то это цитата, как ответили из поддержки, так и написал.
                  +14
                  или вообще не чего
                  нас не чего не ограничивает
                  еще не давно
                  поэтому нам не чего
                  И мильен запятых.Простите меня, я не грамар наци, но это ужасно.
                    +3
                    ок, спасибо, исправлю, извините.
                      +1
                      Прошу прощения, но с таким количеством ошибок читать просто невозможно.
                      Добавлю по поводу безопасности и хостеров. Однажды я купил книжку про безопасность php, (сейчас уже не помню как она точно называется), с диском в комплекте. В одой из глав в книге рассказывалось о том, как можно ходить по папкам хостера с помощью небольшого скрипта, код которого был тут же на диске. Каково было мое удивление, когда на двух из трех моих хостингов я смог повторить этот трюк… Разумеется, написал в техподдержку, и данная дыра была исправлена. Кстати, устоял тогда Вальюхост, если кому интересно.
                  0
                  Через месяц исправит :)
                    0
                    Уже исправил =)
                  +18
                  В России за такое не только спасибо могут не сказать, а еще и заявление на «хакера» написать.
                    0
                    ну у нас любят давать 159 статью, за такие дела, не приятная статья…
                      0
                      Ага. Ведь на скриншотах ведь видно, что человек себе «пополнил» баланс. Следовательно «негодяй, вор» и т. п.
                      +7
                      Подобная ошибка была у программистов ВКонтакте в конце 2010 года. с приложения можно было списывать отрицательное количество голосов (что-то вроде внутренней валюты ВКонтакте).
                        +2
                        Чудесная ошибка, не поверил бы если бы не было скриншотов. Прочитав анонс и заголовок, ждал халявных мегабайт и мегагерц под катом, но никак не денег…
                          +1
                          Добавлю ложку меда: Хостинг реально хороший, и саппорт отзывчивый, правда он дороже (относительно других), но это нормально, за стабильность можно и заплатить, разница не значительна.
                          по понятным причинам не называю названия хостинга, но вдруг кто догадался, что бы не разочаровались =)
                            +8
                            Извините, но чего молчать то? beget.ru
                              –2
                              Чуть меня опеределили :)
                              0
                              Мейби зарегаюсь на этом хостинге, сейчас саппорт почти моментально ответил на мой вопрос о возможности поставить на него Django.
                              ТС, спасибо за статью, авось этот хостинг и станет тем самым, что я уже давно ищу (django + недорого).
                              +11
                              Не вижу смысла, так скрывать название данного хостинга.
                              Мне потребовалось меньше минуты, чтобы найти его:
                              1. Смотрю тайтл на скрине
                              2. Google картинки
                              3. Третий ряд, четвертая слева
                              4. Profit

                              beget.ru ему имя
                                +3
                                помоему мы счас его уроним)))
                                0
                                Примитивные баги — они вездесущи. Вспомнить хотя бы баг со стимом и майнкрафтом…
                                +9
                                В 2004 году один мой знакомый на схожем баге добавил мне и еще нескольким неизвестным мне абонентам на л/с интернет-провайдера 1000000 рублей. Деньги на счету пролежали 2(!) месяца, по-тихому списывая абонентку в 900 р. Через 2 месяца, когда я решил посмотреть свой баланс и полез в личный кабинет — был приятно удивлен, но тут же пошел к провайдеру сообщить об обнаруженной ошибке в балансе. В итоге, пришлось писать заявление провайдеру об обнаруженной ошибке в балансе л/с, в отделе милиции о том, что я не имею отношения к «взлому абонентского личного кабинета и пополнении баланса», забирать свой ПК после проверки, и расторгнуть договор с провайдером, так как мой предыдущий баланс они не смогли восстановить и потребовали аб. платы за 2 месяца. Провайдер так и не смог найти нарушителя и следов его «взлома», но движок л/к поменяли на другой, где этот баг отсутствовал. А ведь мог расторгнуть договор и потребовать вывести с л/с остаток денежных средств. Так что, благородное дело у многих наших провайдеров и хостинг-центров — неблагодарное дело.
                                  0
                                  После таких сообщений, я даже не знаю как буду реагировать, если встречу.
                                  То ли сразу бежать к другому провайдеру, бросая всё как есть, то ли вывести половину… то ли информировать саппорт сразу или в милицию лучше?

                                  Как поступать?
                                    –2
                                    Хостинг правильно выбрать сразу aws.amazon.com/
                                      +1
                                      Дорого. И ответ не по теме
                                  0
                                  Я как-то взял себе выделенный IP. По тем дньгам это было около 3 баксов в месяц. Оплатил за месяц, а пользовался год. После обнаружения бага мне просто отключили эту услугу.
                                    +15
                                    Когда писал интернет-магазин, в нем процентов 20% кода — это код по проверке различных попыток взлома. Не знаю, откуда у меня такая паранойя, но проверки я вставлял везде, где только можно и уведомления о попытках взлома не забывал вставлять. Теперь иногда получаю письма и с интересом читаю как же пытались взломать. Были и подмены сумм, и подмены id-товара на более дорогой, и проверки на SQL-инъекции — они мне поднимали настроение холодными зимними вечерами. Иногда, кул-хацкеры используют даже свои рабочие WM-кошельки, не думая, что я это прекрасно вижу и тогда я не теряю возможности их пристыдить в личке.

                                    Приложу веселую оффтопную картинку:
                                      +4
                                      По-моему, друг друга троллят )
                                      0
                                      Не надо сразу ругать все отечественные компании. Я, например, в свое время нашел у одного из своих предыдущих интернет-провайдеров баг, когда пополнение баланса по WebMoney происходило в двукратном размере. Сообщил на почту. Ничего не ответили, но баг быстро поправили и мне в благодарность на счет 100$ кинули (и предыдущие двойные платежи не стали забирать). Приятно однако… Так что все от конкретных людей и компаний зависит.
                                        0
                                        Пост имеет цель не «ругать все отечественные компании», а обратить внимание как какая вроде бы мелочь, может принести много вреда.
                                        p.s. я до сих пор на этом хостинг, и знаете всем доволен, и ни в коем случае их не ругаю.
                                        0
                                        А у меня другой опыт, положительный, с отечественным хостингом виртуальных серверов. В админке был перловый баг отсутствием фильтрации для open — ;ls|, причем админка то не на гостевой ОС бегала, а на основном хосте. Дали за это 5-7(стоимость месяца) баксов и спасибо сказали. Исправили ошибку то ли в тот же день, то ли на следующий.

                                        Вывод: Компании разные бывают и реакция у всех разная.
                                          0
                                          тут я с Вами согласен, у меня есть и более положительный опыт:
                                          Компания JetBrainsза найденный баг продлила срок действия скидки 50% (которые раздавали на конференции JavaOne Oracle Develop) на лицензию PhpStorm.
                                          0
                                          Я знал, что такой ошибку у моего хостера нет, но на всякий случай проверил :)
                                          Всё нормально.
                                            0
                                            Улыбнуло повторение «Спасибо что указали на на ошибку» Просто это был намек, мол, пользуйся дырой, типа на на, если еще нужно будет, обращайтесь.)

                                            Only users with full accounts can post comments. Log in, please.