Как спрятать мусор в базе Spotify и превратить это в квест

[Eirenliel]

Spotify: *сделал прикольный сервис сокращения ссылок*
Аня: It's Free Real Estate

[leverlever]

Если прочитать этот пост под трек из "Реквиема по мечте", то вам может показаться что вы взломали пентагон и вскрыли супер важный для человечества заговор

[isden]

С эпичной музыкой все становится эпичным.

[ohm]

Я не сразу понял как сканировать код:

Открывайте поиск, жмите в поисковую строку и справа появляется камера.

[middle]

Spotify тут же пожалел, что пришёл в Россию :)

[koteeq]

Да я им шесть лет пользуюсь.

[trapwalker]

В смысле? Что вы там храните у них в БД?! =)

[koteeq]

Ну… Обычно музыку, а тут как-то разошлась…

[snowytoxa]

отличная идея, но можно было и в баг-баунти сдать

[psydvl]

Это не баг, это фича(с)

[trapwalker]

Думаю уже поздно. Сейчас народ побежит делать FUSE-драйвера для хранения в спотифае своих бэкапов и коллекции порно.

[koteeq]

Я даже не стала пытаться, потому что это явно фича. Или скорее особенность реализации.

[trapwalker]

А вы не думали сделать что-то большое, больше чем просто квест? Целую городскую легенду. Ассиметричную игру, где будет две команды: закрытая и открытая.
Закрытая команда творит дичь и делает загадочные вещи, а открытая команда не понимает, что играет в игру и пытается разобраться в загадках чисто из любопытства.

Основное правило — это не объявлять игру. Второе правило — у этой игры нет победителей и нет победы, есть лишь стратегия и тактика двух команд. Они не могут победить друг друга поскольку у них разные метрики: у закрытой команды — хайп, загадочность и резонанс, а у открытой — глубина найденых взаимосвязей в сети неявно связанных между собой загадок.

Первая команда может вербовать агентов и создавать изолированные, не знающие друг о друге и о большой Игре ячейки, а вторая команда вообще ничем не ограничена, но вынуждена жить в неопределенности, поскольку нет никакого валидатора ответов, и даже слив информации из первой команды не гарантирует распутывания всей сети из-за разветвленной структуры первой команды.

[koteeq]

Что-то вы сложное придумали, меня ж за экстремизм закроют.
Я просто хотела маме похвастаться, что у меня теперь статья на Хабре есть, а там уже и рабочий понедельник настал: пришлось отложить деструктивные наклонности и вернуться в реальность.

[trapwalker]

Никакого деструктива.
Всё началось с телефона в лесу. На старом дереве висит старый телефонный аппарат. Совершенно обычный с дисковым номеронабирателем. Провод от него уходит в небольшое природное дупло, а там прикручен к двум оцинкованным гвоздикам, забитым прямо в трухлявую древесину.
Гвоздики можно выдернуть и вставить обратно, ничего не поломается. Также можно туда прикрутить любой обычный немодифицированный телефон и все будет работать.
Если поднять трубку, слышен гудок. Набор валидного номера ведёт к обычным длинным гудкам вызова. Если повесть трубку, то через какое-то время телефон начнёт звонить… Да, как в матрице.
А если поднять трубку во время звонка...

[Thoth777]

… то в ухо абонентся разряжается разряд в несколько киловольт, смодулированный песней «любопытство кошку сгубило»!

[trapwalker]

Теперь я понимаю, почему многие (хорошо, что не все) не просто не проявляют любопытство, но и выражают явное беспкойство при виде такой диковики в неожиданном месте.
Самое для меня удивительное, что у некоторых беспокойство растёт вплоть до какого-то мистическоого ужаса, когда становится понятно, что телефон работает, а тем паче еще и звонит!

Мне кажется кому-то надо смотреть больше научпопа вместо ужастиков. Насмотрятся всяких там "Звоноков" и телефонов боятся потом...

[Mihanman]

Можете прятать номера телефонов любовниц в кодах с Егором Летовым и обклеивать ими стены, тогда ваша законная женщина покинет вас, сочтя сумасшедшим, будете свободны.

Вечер необычных лайфхаков от Анны

[ComodoHacker]

Я уже собралась реверсить обфусцированный код Android-приложения, чтобы узнать, как работает парсер

А пореверсить может и стоило. Или пофаззить. В парсерах часто бывают ошибки, знаете ли. Неучтенные крайние случаи. Глядишь, и RCE где завалялось. А тут готовый канал доставки.

[Temych]

Ясно, теперь террористы будут общаться не в телеге, а в спотифай.
(роскомнадзор напрягся)

[Oxyd]

SpotiChat

[Taraflex]

Для большей эффективности вместо base64 можно попробовать что-то из этого github.com/qntm/base2048#base2048

[koteeq]

Генератор кодов кушает только a-zA-Z0-9 и кучку простейших символов, даже кириллицу туда не впихнуть. Поэтому urlsafe base64 — лучший вариант, наверное.

[trapwalker]

Если попробовать использовать все допустимые после "?" ASCII символы в урле, а их там около 16 добавится сверх тех, что в base64, если я не ошибаюсь, то в тот же объем удастся впихнуть не более 5% (примерно) дополнительной информации. Сложность кодирования того не стоит. А ещё добавятся риски свалиться со специфическими исключениями где-то в недрах софта спотифая.

[zzzzzzzzzzzz]

Получив число 556205622371746371156, приложение превращает его в 58992959842 с помощью таблицы Грея. Именно это делает распознаванием таким быстрым и устойчивым к ошибкам.

Вот этот момент не понял. Как он от ошибок помогает?
(И ещё первое число длинное, а второе короткое, а коды Грея имеют ту же длину, что исходные данные… Видимо, придётся идти патент читать.)

[koteeq]

Расстроилась я.
Была уверена, что они это багом не считают и фиксить не станут, что им плевать на эту особенность.
А они взяли и пофиксили, ещё и всего спустя сутки. Добавила об этом UPD.

Получается, можно было попробоваться в Bug Bounty, а если бы приняли, дали бы $250-300.

:c

[Oxyd]

Всегда нужно пробовать влезть в баг баунти. Всегда!