Обезьянка со скрипкой, или как я неожиданно сэкономил 790 рублей с помощью Fiddler

TL;DR: случайно нашёл простой способ купить платный сервис за 1 рубль вместо полной суммы. Сообщил об этом администраторам ресурса, в итоге получил год подписки бесплатно. Для прожжёных багхантеров – ничего интересного.

Давно хотел научиться уже наконец смотреть фильмы на английском в оригинале. С техническими вещами (лекции, курсы, семинары и т. п.) особых проблем у меня нет – но вот с художественными фильмами и даже играми беда-печаль.

А между тем качество перевода на русский зачастую оставляет желать лучшего. Вот, к примеру, несколько кадров из русской локализации Dead Space 3:

«Вроде понятно.»

(выглядывая из-за угла в поисках противника) Looks clear.

«Покинуть мост!»

Clear the bridge!

«Руку!»

Give me a hand!

Я – очень обязательный и целеустремлённый человек, поэтому минимум раз в год обещаю себе подтянуть английский. Правда, постоянно как-то так в жизни получается, что возникает огромное количество более срочных дел – родные, друзья, Skyrim — поэтому на английский времени не остаётся. Прямо заговор какой-то.

Не так давно у меня случилось очередное обострение, и я стал шерстить Сеть в поисках какого-нибудь подходящего сайта, обучающего английскому. Перебрал несколько вариантов; в итоге остановился на одном, который привлёк внимание интерфейсом и некоторыми заявленными возможностями. На одном из разделов сайта оказались сериалы на английском с весьма, на мой взгляд, удобно сделанными субтитрами — ну и прочими вкусными плюшками типа словаря и комментариев к сложным и тонким деталям языка.

После ознакомления с демо-версией происходящего было принято решение, что надо бы купить полный доступ ко всем сериям. Вдоволь поплакав над своими кровными денежками, я проследовал на страницу оплаты товара.

Страница как страница, ничего особенного

Слева выбираем продукты, справа появляется посчитанная цена. Потом нажимаем на «Оплатить картой», появляется окошко оплаты, оплачиваем. Всё стандартно.

И тут меня почему-то потянуло открыть Fiddler. Я много слышал про то, что умные люди с его помощью умеют встраивать XSS, списывать с мобильника деньги, красть учётки от контакта и взламывать Пентагон. У меня самого так никогда не получалось, но ведь рассказывают же!

Итак, я запустил Fiddler, нажал на кнопку «Оплатить» — и увидел вот такую картину:



Выделенный POST-запрос имел следующий вид:



Я с удивлением обнаружил, что там содержится до боли знакомая мне сумма моего заказа, которая приходит в ответе от сервера.

Известно, что Fiddler может перехватывать не только исходящие, но и входящие запросы. Я перевёл его в этот режим.

Разумеется, все знают, где находится эта кнопка. Для остальных я на всякий случай сделал скриншот:

После этого я попробовал оплатить заказ ещё раз — и, когда сервер вернул мне ответ «1580 рублей», я ничтоже сумняшеся переменил его на несколько меньшую цену в 80 рублей:



Открывшееся окошко платёжной системы подтвердило, что заплатить нужно именно столько:



Насторожившись, я ввёл данные карты и скрестил пальцы…

Через несколько секунд окошко сообщило, что оплата успешно прошла.

А ещё через пару секунд зажужжал телефон – это пришла SMS с подтверждением из банка.

Тем временем на почту поступили письмо от платёжной системы с подтверждением оплаты и письма от ресурса, поздравляющие с приобретением системы.

А в личном кабинете на сайте появились новые возможности, честно приобретённые мной со скидкой в 94.9%.

«Ого!^★», — подумал я и пошёл писать письмо администраторам ресурса. Отдельных способов связи для такого рода сообщений я не нашёл, поэтому просто написал в техподдержку.

Оповещение об уязвимости (кликабельно)

Отправил обращение я около полуночи. К обеду следующего дня мне написал специалист техподдержки, поблагодарил за информацию и сообщил, что уязвимость закрыта. Я был приятно удивлён оперативностью ответа.

Переписка с техподдержкой (кликабельно)

В качестве бонуса предложили доступ к любой из платных услуг сайта; я, разумеется, выбрал сериалы.

Теперь-то уж наверняка буду смотреть.

Буду рад услышать отзывы, советы и мнения читателей в комментариях. Также предлагаю поучаствовать в коротеньком опросе общественного мнения.

P.S.

Когда попробовал проверить уязвимость после фикса – получил ошибку «Неверная операция» или что-то типа того. Но, видимо, я сделал слишком много запросов, потому что сейчас при подобных попытках (причём даже с разных IP-адресов) я уже пятый день вижу одно и то же сообщение «Повторите попытку позже».



Похоже, платёжная система меня таки забанила на некоторое время. :D

P.P.S.

Особо въедливые читатели могли заметить, что на скриншотах была указана сумма в 1580 рублей, а в заголовке статьи фигурирует 790.

Разгадка проста: изначально я планировал купить две услуги, но потом рассудил, что мне и одних сериалов за глаза хватит.

Ведь я – очень обязательный и целеустремлённый человек.

^★Здесь приводится официальная версия (сокращённая и отцензурированная).