Ini saya, menulis skrip untuk menghitung parameter untuk permintaan POST ke gov.tr, duduk di depan perbatasan Kroasia.
Bagaimana semuanya dimulai
Saya dan istri saya berkeliling dunia dan bekerja dari jarak jauh. Kami baru saja pindah dari Turki ke Kroasia (titik terbaik untuk mengunjungi Eropa). Agar tidak masuk karantina di Kroasia, Anda harus memiliki sertifikat tes covid negatif yang dibuat selambat-lambatnya 48 jam sebelum masuk.
Kami menemukan bahwa relatif menguntungkan (2500 rubel) dan dengan cepat (semua hasil datang dalam 5 jam) untuk mengikuti tes di bandara Istanbul, tempat kami baru saja terbang.
Kami tiba di bandara 7 jam sebelum keberangkatan, menemukan test point. Mereka melakukan semuanya dengan kacau: Anda datang, memberikan paspor, membayar, Anda mendapatkan 2 stiker dengan kode batang, Anda pergi ke laboratorium keliling, di mana mereka mengambil salah satu stiker ini dari Anda untuk mengidentifikasi analisis Anda. Setelah Anda pergi, dan mereka memberi tahu Anda: buka situs ini: , masukkan barcode dan 4 digit terakhir paspor Anda, setelah beberapa saat akan ada hasilnya.
Tetapi jika Anda memasukkan data segera setelah lulus analisis, halaman tersebut memberikan kesalahan.
Meski begitu, pemikiran tentang UX yang "indah" merayap di kepala saya, di mana, dengan kesalahan apa pun dari operator yang memasukkan data paspor, tidak ada cara untuk mengetahui hasil Anda.
Sebelum keberangkatan
Waktu keberangkatan tiba, saya memasukkan data saya dan melihat bahwa dokumen untuk mereka sudah ada, meskipun belum ada hasil tes.
Bahkan terlihat jelas bahwa tes tersebut sudah sampai di laboratorium 1.5 jam yang lalu. Tapi entri data istri saya masih memberikan kesalahan bahwa entri itu tidak ditemukan. Dan yang terpenting, Anda tidak akan bisa pergi begitu saja dan bertanya ada apa, karena. Kami lulus ujian di zona sebelum pemeriksaan paspor.
Saat naik pesawat, kami dimintai hasil tes, tapi untungnya kami bisa meyakinkan perwakilan bandara bahwa mereka akan segera muncul (menunjukkan barcode), dan, sebagai upaya terakhir, kami akan masuk ke karantina.
Segera setelah saya naik pesawat, kode saya menunjukkan bahwa saya mendapatkan tes negatif.
Sesampainya disana
Dan di sinilah kesenangan dimulai! Begitu kami terbang dan terkoneksi ke WiFi lokal, ternyata record istri saya tidak ada di database. Dan di perbatasan itu sendiri, dokumen-dokumen itu didekati dengan sangat hati-hati: penjaga perbatasan melakukan tes virus corona dan membawanya ke ruangan terpisah untuk memeriksa kenyataannya. Kami memutuskan bahwa kami akan menceritakan kisah kepercayaan kami apa adanya dan mencari tahu opsi apa yang kami miliki.
Saat kami mengantri, saya memutuskan untuk memeriksa data yang benar (saya) dan yang salah, bagaimana reaksi halaman validasi.
Ternyata dia mengirim permintaan pos ke , dengan parameter berikut:
barcodeNo = XX
kimlikNo=YY
kimlikTipi=2
dimana kode batangNo - nomor kode batang, kimlikNo - identitas paspor, kimlik Tipi – parameter tetap sama dengan 2 (jika hanya dua bidang pertama yang diisi). Tidak ada token yang terlihat. Permintaan mengembalikan 1 untuk parameter yang benar (data saya), dan 0 untuk parameter yang salah.
Dari tukang pos, saya mencoba memilah-milah 40 kombinasi (tiba-tiba terjadi kesalahan satu karakter), tetapi tidak ada hasilnya.
Saat itu kami mendekati penjaga perbatasan, dia mendengarkan cerita kami dan menyarankan karantina. Tetapi kami jelas tidak ingin duduk di apartemen selama 14 hari, jadi kami meminta untuk menunggu sebentar di zona transit untuk mencoba menyelesaikan masalah dalam beberapa jam. Penjaga perbatasan memasuki posisi kami, pergi untuk melihat apakah kami dapat duduk di zona putih, dan, dengan persetujuan kepala, berkata: "oke, hanya beberapa jam."
Saya mulai mencari telepon dari mereka yang melakukan tes mahkota, dan secara paralel memutuskan untuk menguji hipotesis gila: jika sistem ini memiliki UX yang sangat buruk, maka sistem keamanannya seharusnya tidak baik, meskipun gov.tr domain.
Alhasil, saat sedang menelepon, saya menulis skrip kecil yang mengurutkan semua angka dari 0000 hingga 9999 di bidang kimlikNo. barkodTidak ada stiker, jadi tidak mungkin salah.
Bayangkan keterkejutan saya ketika bahkan setelah 500 permintaan terus menerus saya tidak dilarang dan skrip terus berjalan dengan 20 permintaan per detik dari WiFi bandara.
Panggilan tidak memberikan banyak keberhasilan: Saya dialihkan dari satu departemen ke departemen lain. Tetapi segera skrip tersebut memberikan nilai yang didambakan 6505, yang sama sekali tidak seperti 4 digit asli paspor.
Setelah mengunggah dokumen, ternyata itu jelas bukan paspor istri saya (orang asing Rusia bahkan tidak memiliki nomor seperti itu), tetapi semua data lainnya (termasuk nama depan, nama belakang, dan tanggal lahir) sudah benar.
Hal yang paling menarik adalah barcode juga tidak acak, tetapi hampir satu per satu. Jadi, secara teori, saya dapat menemukan kontak yang mendapatkan nomor paspor istri saya, dan secara umum, dengan lancar mengeluarkan data pribadi orang lain.
Tapi saat itu jam 9 pagi dan malam tanpa tidur, saya terlambat untuk rapat online dan senang mereka mengizinkan kami masuk tanpa karantina, jadi saya baru saja memulai perjalanan keliling Eropa.
Sumber: www.habr.com