JeeKiev і халявна база кандидатів від ЕРАМ

Мої вітаннячка, хочу розповісти невелику історію як не поважати юзер інфо, і не поважати того хто тобі розповідає про бажини.

Поїхав я от на цю гарну конфу, котра була в Києві 26-27.05.2017, шарився там між стендами де всіх завлікали кольоровими свістєлками/сералками...
Наткнувся на ЕРАМ котрий казав:
— ви мол зарегайтесь в нас на формочці, онлайн, і зможете прийняти участь в розіграші "квартири, машини, золотого батона..."(якійсь борд, павербанкі...)

підюзати формочку можна було на їх кампі — шо не цікаво, тому я записав урлу, відкрив формочку і почав по ній шаритись.

формочку можна знайти тут: epam-reg.herokuapp.com

перше шо стало цікаво ритись в скірптах, і нетворку — куда ж вона шле запити, і за пару сек найшов апішку:

epam-reg.herokuapp.com/api/users

куда слався пост
попробував послати GET — і шо ви думаєте, оця штука видала мені всіх хто там зареганий, ще й з внутрішнімі айдішками бази, судячи по айдішкам там в них монга.

я, як добрий саморитянин, пішов до них і сказав — мол пацани ну не гарно отак робити, на шо получив просто чарівну відповідь:
— а чому ви взагалі там лазили

мене ця відповідь трошка засмутила, і я почав там лазити активніше.

в результаті найшов шо пости можна слати з предефайнет айдішками, шо можна доступитись до кожного юзера окремо, і модифікувати одне поле.
ще знайшов шо дубліками ми не перевіряєм — і так шоб намікнути їм чого я там лажу, вальнув коло 20к записів з однаковим імейлом іменем...

після чого гет запит, видай всіх юзерів, перестав працювати :)

Висновкі, чисто мої субєктивні:
поважайте юзер дату
не посилайте людей котрі вам говорять про дірки в вашій аплікусі

список чого я знайшов з курлами, і як постучати, покі воно ще живе:
curl -XPOST -v ’epam-reg.herokuapp.com/api/users/ -d ’{"firstname":"-2«, «lastname»: «-2», «email»: «[email protected]», «city»: «-7», "framework":"evil«, «skill»: "whoKnows«}’ -H «content-type: application/json»

просим всіх юзерів(зара не працює бо сервак офігеває від сміття):
curl -XGET -v ’epam-reg.herokuapp.com/api/users/
curl -XGET -v ’epam-reg.herokuapp.com/...​592bf849690f2c000fd6f9d9

працює тільки для поля «framework»:
curl -XPUT -v ’epam-reg.herokuapp.com/...​592bf849690f2c000fd6f9d9 -H «content-type: application/json» -d ’{"framework": "not"}’

UPD: формочка померла

👍ПодобаєтьсяСподобалось0
До обраногоВ обраному0
LinkedIn
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Полазьте будь-ласка по fwdays.com! Якщо що, то пишіть на [email protected]. Ми гарно подякуєм ;)

ну и дурак
мог золотой батон выиграть, а так уложил систему
ни себе ни людям

то одне з перших шо я попробував :)
не працював

Евгений, Вашей целеустремленности можно позавидовать. Я искренне надеюсь, что Вы не очень расстроились, что не сработал хотя и верю, что Вы очень старались.

дуже старався, вайлтру ганяв пару годин :D

Я искренне надеюсь, что Вы не очень расстроились, что не сработал хотя и верю, что Вы очень старались.

Вы осознаете что таким пассивно-агрессивным коментарием нанесли больше вреда репутации компании чем весь топик?

Богдан, не нужно прибегать к манипуляциям, мой комментарий — это всего лишь мой комментарий и мое личное мнение по поводу усердия автора, не более.

не нужно прибегать к манипуляциям

Как называется манипцляция, которую вы увидили в моем комментарии?

мой комментарий — это всего лишь мой комментарий и мое личное мнение по поводу усердия автора, не более.

То есть вы не понимаете какой вред вы наносите репутации компании :) Пояснение: никого не интересует чье и о чем это мнение, многие увидят вашу должность и название компании.

Я так понимаю, Богдан, Вы увидели именно это и дальше Вас ничего не интересует, т.е. история про Вас?) Честно сказать я все еще не понимаю о каком вреде идет речь, т.е. попытки манипуляции и запугивания опять таки с Вашей стороны продолжаются, какова бы ни была мотивация, Вы тоже имеете на это право. Я имею такое же право как и каждый пользователь данного ресурса участвовать в дискуссиях, и я не обязана удалять информацию о занимаемой мною должности для этого — для подобного рода анонимного общения есть другие ресурсы. Но мы безнадежно далеко отошли от темы.

Не волнуйтесь, репутации Епама вы никак не навредите. Все таки пробить дно нужно уметь.

> мое личное мнение
которое вы пишите в рабочее время

Перш ніж писати лічноє мнєніє, непогано б було прибрати «Event and Marketing Specialist в EPAM» ;)

эт скрытая реклама «заскучали по хамовитому совку ? идите работать к нам » :)

то одне з перших шо я попробував :)
не працював

1) Это не по пацански. При таком тестинге вы могли нанести реальный вред системе
2) Делит на какой ресурс? На конкретного пользователя или на все?
---
А теперь о важном: сайтик лежит. Вы смогли определить на каком фремворке оно сделано? (Боюсь как бы не оказалось что это спринг-бут с аннотацимия рест-репозиторий :) )

чесно кажучи, навіть не пробував оприділити фреймворк, в хідерах світився Cowboy

чесно кажучи, навіть не пробував оприділити фреймворк, в хідерах світився Cowboy

От и зря не пробовали. Срачик на тему качества эрланговых продуктов мог бы получится зачетный :)
Хотя я немного удивлен, ожидал чего-то более мейнсримового.

можливо, але я до ерланга ще не дойшов :(
тре вчить — срачь це збс :)

а по першим двум — деліт пробував на конкретного юзера, котрого сам створив

— а чому ви взагалі там лазили

Ні, ну справді, чому ви там лазили? :D

Спасибо, улыбнуло =)
Post еще ладно, но Get это уже зло. С другой стороны, если это часть приложения, то редеплой в такой момент они врят-ли сделают. Менеджеры не позволят, как минимум.

Поставлю питаннячко інакше:
Якщо EPAM так працює для себе — уявіть який продукт вони дають клієнтам!

Та как раз не факт, для себя можно сделать быстро на коленке — тем более это просто форма чтобы собрать контакты для розыгрыша призов (ну и пропинговать некоторых). Тем более всю инфу и так можно найти в инете.

я канеха може живу в свому уявному світі, але професіонал завжди робить гарний продукт, і не важливо чи то для себе, чи для Йвана, чи для продажі...

на рахунок інфи в інеті — правда, але напевно компанії шось знають, якшо збирають інфу не тільки в інтернетах :)

Я бы не стал выставлят компанию на всеобщее порицание из-за этого. Да, им стоило сделать более секурно. Я тоже считаю, делать нужно качественно. Но лучше вовремя иметь продукт, который решает задачу, чем качественный, но после конференции.

Нашли уязвимость — отлично. Зарепортили — замечательно. Его проигнорили — минус компании. Заэксплоитили — большой минус вам.

я от став виставляти, бо по моїй субєктивній думці, це ефективніше — компанія швидкіше відреагує, і велика ймовірність шо в майбутньому вони будуть трошка ліпшіше ставитись до подібного

а якшо просто спустити на тормозах, вони продовжуть кліпати на колінці, і рано чи пізно там буде білінг інфа, або ще якась цінна інфа

хз... може я також живу в уявному світі :) , але як на мене, професіонал для себе переважно робить напівфабрикат. Працює — і ок.

Таки в воображаемом. Профессионал (или специалист) для себя будет делать максимально красиво, потому как не скован рамками.

Що «красиво» ? Скажімо, треба утилітку зробити, яка буде файлик з сайту витягувати, парсити і в базу заганяти. Для власних потреб, не для клієнта. Ви будете для неї тести писати, присобачите UI, ще й документацію напишете ?

Нет, я напишу ее так, как мне нравится. Т.е. оптимизировано, с тестами, с обработкой ошибок. Потому что пишу для себя.

А если стоит вопрос: сделать криво и заработать, или правильно и пролететь со сроками?

Тогда уже пишу не для себя :)

Скорее синьеру — «ну там же на пол часа работы»..

Евгене, наше рішення не є базою кандидатів. Це маркетинговий інструмент, який дає можливість учасникам заходу, з якими ми спілкувались особисто, взяти участь в розіграші призів. Ми розробили це рішення з урахуванням зайнятості людей — електронна форма економить їхній час та дає більше можливостей для спілкування.

Ми пропрацюємо вказаний момент, щоб наступного разу забезпечити учасникам конференцій не тільки зручність взаємодії, але й повністю виключити варіант втручання сторонньої особи у процес розіграшу подарунків.

так/ні/можливо — чи це є база:
воно є локальною базою, або міні базою... тому в хідері прикрутив джее конфа

Краще пообіцяйте, що наступного разу будете відноситись до приватних даних учасників з належною відповідальністю. Щоб вони не замислювались, а чи варто форму с логотипом Епам взагалі заповнювати.

Алексей, Вам не кажется, что именно это обозначено в комментарии? Прочитайте внимательнее последний абзац, там именно об этом.

Без окулярів не бачу. Вкажіть де саме.

Ми пропрацюємо вказаний момент, щоб наступного разу забезпечити учасникам конференцій не тільки зручність взаємодії, але й повністю виключити варіант втручання сторонньої особи у процес розіграшу подарунків.

Втручання сторонньої особи у процес розіграшу — це ваші особисті справи.
А забезпечення безпеки приватних даних учасників (потенційний витік яких у руки потенційних зловмисників ви створили) — це зовсім інше.

Умм, голова у ЕПАМ хотя бы не гнилая :)

Дядя, вот я тебя не понимаю
1. Как ты думаешь, зачем ЕПАМ спонсирует такие конференции, по доброте душевной? Святая простота.
2. Ты принял участие в лотерее призов, поскольку бесплатного ничего не бывает заплатил за это своими контактными данными. Естественно, собирают их не для того чтобы осчастливить тебя приятным призом — это средство. Цель состоит в получении контактов
3. Тебя включат в рассылку ЕПАМ-а, возможно предложат работу. Ай-яй-яй, ужас-то какой

свята правда, але стаття не про це, а про то як вони зберігають свої цінні дані

Ты от кого то скрываешься?

Хотя бы от спамеров.
Но статья снова же не об этом:
Вендор ИТ-услуг не обеспечил даже базовой безопасности для своего внутреннего продукта.

мол пацани ну не гарно отак робити, на шо получив просто чарівну відповідь:
— а чому ви взагалі там лазили

Вендор ИТ-услуг послал не отреагировал ()так как должен реагировать вендор ИТ-услуг на секурити баг.

статья про то, что кто-то повысил свой ЧСВ. Ну нашел ты контакты, и что?

Обязательно нужно было регистрироваться чтобы оставить этот ценный комментарий?)

3. Тебя включат в рассылку ЕПАМ-а, возможно предложат работу. Ай-яй-яй, ужас-то какой

А от ніфіга, «с компанией EPAM у вас теперь в жизни никогда ничего не получится» :)

Наткнувся на ЕРАМ котрий казав:
— ви мол зарегайтесь в нас на формочці, онлайн, і зможете прийняти участь в розіграші "квартири, машини, золотого батона..."(якійсь борд, павербанкі...)

підюзати формочку можна було на їх кампі — шо не цікаво, тому я записав урлу, відкрив формочку і почав по ній шаритись.

Так вони взяли якийсь невеликий інстанс в Heroku і нашвидкоруч сконфігурили.
Ви хотіли, щоб вони туди OAuth прикрутили ?

ні, все на багато простіше — просто заборонити всі методи крім поста, до купи багато фреймворків підтримує авторизації, базові захисти на подобі цсрф... котрі підключаються за пару секунд

Навіть базової http авторизації та звичайного хардкоду логіна/пароля було б достатньо для тимчасового сервісу.

Підписатись на коментарі