Ова сум јас, пишувам скрипта за набројување параметри за барање POST на gov.tr, седнат пред границата со Хрватска.
Како сето тоа започна
Мојата сопруга и јас патуваме низ светот и работиме од далечина. Неодамна се преселивме од Турција во Хрватска (најдобрата точка за посета на Европа). За да не бидете ставени во карантин во Хрватска, потребно е да имате направено потврда за негативен тест за Ковид најдоцна 48 часа пред влезот.
Дознавме дека е релативно профитабилно (2500 рубли) и брзо (сите добиваат резултати во рок од 5 часа) да го направиме тестот на аеродромот во Истанбул, од кој штотуку излетавме.
Стигнавме на аеродромот 7 часа пред поаѓање и најдовме полигон за тестирање. Тие прават сè хаотично: доаѓате, давате пасош, плаќате, добивате 2 налепници со баркод, одите во мобилната лабораторија, каде што ви земаат една од овие налепници за да ја идентификуваат вашата анализа. Потоа излегуваш и ти велат: оди на оваа страница: , внесете го вашиот баркод и последните 4 цифри од пасошот, по некое време ќе се појави резултатот.
Но, ако внесете податоци веднаш по завршувањето на анализата, страницата прикажува грешка.
Дури и тогаш, во мојата глава се вовлекоа мисли за „прекрасен“ UX, во кој, во случај на каква било грешка на операторот што ги внесе податоците за пасошот, нема начин да го дознаеме резултатот.
Пред поаѓање
Доаѓа времето на поаѓање, ги внесувам моите податоци и гледам дека документите за нив се веќе таму, иако се уште нема резултат од тестот.
Дури е јасно дека тестовите пристигнале во лабораторијата пред 1.5 час. Но, кога ги внесувам податоците на мојата сопруга, сепак добивам грешка дека записот не е пронајден. И што е најважно, нема да можете едноставно да одите и да прашате што не е во ред, бидејќи ... Го направивме тестот во областа пред пасошка контрола.
Кога се качивме на летот, од нас побараа резултати од тестот, но, за среќа, успеавме да го убедиме претставникот на аеродромот дека наскоро ќе се појават (им ги покажавме бар-кодовите) и, во краен случај, ќе одиме во карантин.
Веднаш штом се качив во авионот, мојот код покажа информација дека мојот тест е негативен.
По пристигнувањето
И тука започнува забавата! Штом пристигнавме и се поврзавме на локалната WiFi, се покажа дека записот на мојата сопруга сè уште не е во базата на податоци. И на самата граница, тие многу внимателно им пристапија на документите: граничарот направи тест за коронавирус и го однесе во посебна просторија за да ја провери неговата реалност. Решивме да ја раскажеме нашата приказна за доверба каква што е и да дознаеме какви опции имаме.
Додека стоевме во редот, решив да тестирам како реагира страницата за валидација користејќи точни (мои) и неточни податоци.
Се испостави дека таа испраќа барање за пост до , со следните параметри:
barkodNo=XX
kimlikNo=YY
kimlikTipi=2
каде што баркодБр – број на баркод, кимлик бр - пасош, kimlikTipi – фиксен параметар еднаков на 2 (ако ги пополните само првите две полиња). Немаше видливи токени. Барањето врати 1 за точните параметри (мои податоци), а 0 за неточните.
Од Поштар се обидов да средам 40 комбинации (наеднаш се појави грешка на еден знак), но ништо не излезе од тоа.
Во тој момент му пријдовме на граничарите, тој ја слушна нашата приказна и предложи карантин. Но, очигледно не сакавме да седиме во станот 14 дена, па побаравме да почекаме малку во транзитната зона за да се обидеме да го решиме проблемот за неколку часа. Граничарот ја разбра нашата ситуација, отиде да дознае дали можеме да седнеме во белата зона и, со согласност на водачот, рече: „Во ред, само неколку часа“.
Почнав да го барам телефонскиот број на оние кои го направија тестот за корона, а во исто време решив да тестирам луда хипотеза: ако овој систем има толку страшен UX, тогаш безбедносниот систем не треба да е добар, иако доменот е gov .tr.
Како резултат на тоа, додека седев на повици, напишав мала скрипта што се повторуваше низ сите броеви од 0000 до 9999 во полето kimlikNo. Имавме barkodNo на налепница, така што не може да биде погрешно.
Замислете го моето изненадување кога и по 500 континуирани барања не бев баниран, а сценариото продолжи да работи со брзина од 20 барања во секунда од WiFi на аеродромот.
Повиците не беа многу успешни: бев пренасочен од еден во друг оддел. Но, многу брзо сценариото ја произведе посакуваната вредност 6505, која воопшто не беше слична на вистинските 4 цифри од пасошот.
По преземањето на документот, се покажа дека очигледно не е пасошот на мојата сопруга (руските странци дури немаат такви броеви), но сите други податоци (вклучувајќи име, презиме и датум на раѓање) се точни.
Најинтересно е што бар-кодовите исто така не се случајни, туку доаѓаат речиси еден по друг. Така, теоретски, можев да ги најдам контактите кои го добија бројот на пасошот на мојата сопруга и воопшто, непречено да ги исфрлам приватните податоци на другите луѓе.
Но, беше 9 часот наутро и една ноќ без сон, доцнав на состанок преку Интернет и ми беше мило што ни беше дозволено да влеземе без карантин, па штотуку го започнав моето патување низ Европа.
Извор: www.habr.com