Ovo sam ja, pišem skriptu za nabrajanje parametara za POST zahtjev za gov.tr, sjedim ispred granice sa Hrvatskom.
Kako je sve počelo
Moja supruga i ja putujemo svijetom i radimo na daljinu. Nedavno smo se preselili iz Turske u Hrvatsku (najbolja tačka za posjetu Europi). Kako ne biste otišli u karantenu u Hrvatskoj, potrebno je imati potvrdu o negativnom testu na covid učinjenu najkasnije 48 sati prije ulaska.
Saznali smo da je relativno isplativo (2500 rubalja) i brzo (svi rezultati stižu u roku od 5 sati) napraviti test na aerodromu u Istanbulu, sa kojeg smo upravo odletjeli.
Stigli smo na aerodrom 7 sati prije polaska, našli testnu tačku. Oni sve rade haotično: dođeš, daš pasoš, platiš, dobiješ 2 naljepnice sa bar kodom, odeš u mobilnu laboratoriju, gdje ti uzmu jednu od ovih naljepnica da identifikuju tvoju analizu. Nakon što odete, i oni vam kažu: idite na ovu stranicu: , unesite svoj bar kod i zadnje 4 cifre pasoša, nakon nekog vremena će biti rezultat.
Ali ako unesete podatke odmah nakon prolaska analize, stranica daje grešku.
Već tada su mi se u glavu uvukle misli o “lijepom” UX-u u kojem, uz bilo kakvu grešku operatera koji je unio podatke o pasošu, nikako da saznam vaš rezultat.
Prije odlaska
Dolazi vrijeme polaska, unosim svoje podatke i vidim da su dokumenti za njih već tu, iako još nema rezultata testa.
Čak je jasno da su testovi u laboratoriju stigli prije 1.5 sat. Ali unos podataka moje žene i dalje daje grešku da unos nije pronađen. I što je najvažnije, nećete moći samo otići i pitati šta nije u redu, jer. Test smo položili u zoni prije pasoške kontrole.
Prilikom ukrcavanja na let, tražili smo rezultate testiranja, ali smo, srećom, uspjeli uvjeriti predstavnika aerodroma da će se uskoro pojaviti (pokazali im bar kodove), a kao krajnje nužde ćemo otići u karantin.
Čim sam ušao u avion, moj kod je pokazao da imam negativan test.
Po dolasku
I tu zabava počinje! Čim smo doletjeli i spojili se na lokalni WiFi, ispostavilo se da dosije moje supruge nije u bazi podataka. A na samoj granici dokumentima se pristupalo vrlo pažljivo: graničar je napravio test na koronavirus i odnio ga u posebnu prostoriju da provjeri njegovu stvarnost. Odlučili smo da ćemo ispričati priču o povjerenju kakva jeste i saznati koje opcije imamo.
Dok smo stajali u redu, odlučio sam provjeriti jesu li tačni (moji) i netačni podaci, kako stranica za validaciju reaguje.
Ispostavilo se da ona šalje zahtjev za poštu , sa sljedećim parametrima:
bar kod br=XX
kimlikNo=YY
kimlikTipi=2
gdje bar kod br – bar kod broj, kimlikNo - lična karta za pasoš, kimlik Tipi – fiksni parametar jednak 2 (ako su popunjena samo prva dva polja). Nije bilo vidljivih tokena. Zahtjev je vratio 1 za ispravne parametre (moji podaci), a 0 za netačne.
Od poštara sam pokušao da sortiram 40 kombinacija (odjednom greška jednog znaka), ali od toga ništa.
U tom trenutku smo prišli graničaru, on je saslušao našu priču i predložio karantin. Ali očito nismo htjeli sjediti u stanu 14 dana, pa smo zamolili da malo pričekamo u tranzitnoj zoni kako bismo pokušali riješiti problem za par sati. Graničar je ušao na naš položaj, otišao da vidi da li možemo da sjednemo u bijelu zonu i, uz saglasnost načelnika, rekao: „Dobro, samo par sati“.
Počeo sam da tražim telefone onih koji su radili krunski test, a paralelno sam odlučio da testiram suludu hipotezu: ako ovaj sistem ima tako užasan UX, onda sigurnosni sistem ne bi trebalo da bude dobar, iako je gov.tr domena.
Kao rezultat toga, dok sam razgovarao, napisao sam malu skriptu koja je sortirala sve brojeve od 0000 do 9999 u polju kimlikNo. barkodNo imali smo naljepnicu, tako da nije moglo biti pogrešno.
Zamislite moje iznenađenje kada ni nakon 500 neprekidnih zahtjeva nisam bio banovan, a skripta je radila 20 zahtjeva u sekundi sa aerodromskog WiFi-ja.
Pozivi nisu dali mnogo uspeha: bio sam preusmjeren iz jednog odjela u drugi. Ali vrlo brzo skripta je dala željenu vrijednost 6505, što uopće nije bilo kao prave 4 cifre pasoša.
Nakon postavljanja dokumenta ispostavilo se da očito nije pasoš moje supruge (ruski stranci čak i nemaju takve brojeve), ali svi ostali podaci (uključujući ime, prezime i datum rođenja) su tačni.
Najzanimljivije je da bar kodovi takođe nisu nasumični, već idu skoro jedan po jedan. Tako sam, u teoriji, mogao pronaći kontakte koji su dobili broj pasoša moje žene, i općenito, glatko ispumpati privatne podatke drugih ljudi.
Ali bilo je 9 ujutro i noć bez sna, zakasnio sam na onlajn sastanak i bilo mi je drago što su nas pustili unutra bez karantina, pa sam tek krenuo na svoje putovanje po Evropi.
izvor: www.habr.com