Как плохо спроектированный UX у теста на коронавирус чуть не посадил нас на самоизоляцию, но дырка в безопасности спасла

[disakov]

Для быстрого перебора вместо скрипта можно юзать бесплатную версию Burp Suite. Там все для этого есть. А так IDOR, отсутствие лимита на запросы. Классика. Хотя лимит тоже можно обойти, смотря как он сделан.

[symbix]

В ситуации, когда надо получить результат в крайне ограниченное время, уж точно лучше написать скрипт на хорошо знакомом языке, чем пытаться изучить незнакомый софт. Тем более там писать-то)

[disakov]

Совершенно согласен. Просто это де-факто основной инструмент для веб тестирования, вот и упомянул. Вдруг автор решит еще IDOR поискать где-нибудь.

[myemuk]

alzimin, Слил данные своей жены )) И, кстати, не забыл ее поздравить с днём рождения? ))

[Vsevo10d]

Товарищ, проснитесь, вы не на дваче.

[Bringoff]

был рад, что нас пропустили без карантина

Что-то тема не раскрыта — результаты теста жены вы ведь так и не получили? Почему тогда пропустили?

[alzimin]

Получили, просто он на другой номер паспорта.
Но т.к. имя/фамилия и дата рождения совпадает, к тому же у нас был barcode – нам поверили.

[irsick]

Но было 9 утра и ночь без сна, я опаздывал на онлайн встречу и был рад, что нас пропустили без карантина, поэтому просто начал свой путь по Европе.

Вот так всегда! На самом интересном месте! (с)

[alzimin]

Тут был комментарий про то, на чем писал скрипт (я его случайно замьютил).

Я быстро запустил через Swift (т.к. в прошлом мобильник и рука набита сделать такое за 1 минуту), но второй бы по приоритету был бы питон.

[streem]

Запросы слали через симулятор? :)

[alzimin]

Уже не помню, но, вероятно, да или создал macOS приложение)

[liquiddeath13]

интересная статья! грустно осознавать, что гос. домен не гарантирует высокий уровень сохранности данных. если раскручивать тему с получением персональных данных и дальше… а как там в Турции с контролем за сохранностью и приватностью персональных данных?)

[alzimin]

Спасибо, я не разбирался в вопросе, но местные продвинутые ребята говорили, что там очень много распила денег и, предпологаю, реализация соответствующая (и товарищ выше тоже это подметил).

[Shporsoft]

Тут и в платформах онлайн-обучения есть 'дыры'. Например в onlinemektep.org. Я получал плохие баллы по тестам, 7/10. После этого решил изучить систему, и понял что UI/UX написан на фреймворке Vue.js. А данные в шаблон передаются по открытому JSON который виден в Devtools>Application>Storage. Правильные ответы помечены флажком "right":true. Когда я это узнал, радости не было предела! Только жаль что JSON Beautifier всегда выдает ошибку неправильного синтаксиса.

[TheShock]

Только жаль что JSON Beautifier всегда выдает ошибку неправильного синтаксиса.

Вполне возможно, что там просто не JSON, а джаваскрипт. Можно попробовать сделать евал в консоли

[Fragster]

Это просто json5

[shabelskiy]

Детектив!

[robotikz]

Смысл такое ломать? Это же прототипы, на быструю руку сделаны

[alzimin]

Чтобы не сесть на самоизоляцию.

[IndyCar]

хак кривой реальности, но сгодится, если не часто такое предпринимать ))

[Wesha]

А зачем номер паспорта "526**6505" замазывали? Сами ж говорите — он неизвестно чей. Так что для читателей это просто число, ничего с ним не сделать. :)

А за 2 часа вполне можно было взять страницу "своего" результата, в HTML подправить имя-фамилию и показать как результат жены :)

А как сейчас — погранец мог бы посмотреть на женин результат и сказать — "чё это вы мне показываете, у вас номер пачпорта не такой!"

[alzimin]

Замазал для приличия, это чужой паспорт.

Прилетали люди из Стамбула с одинаковыми системами теста, на них был QR код ведущий на официальный сайт, где были написаны данные, пограничники уходили в отдельную комнату, где специальные люди проводили с распечаткой пару минут. Догадываюсь, что тут риски были слишком большие и не стоили себя ;)