Ini saya, menulis skrip untuk menghitung parameter untuk permintaan POST kepada gov.tr, duduk di hadapan sempadan ke Croatia.
Bagaimana ia semua bermula
Saya dan isteri saya mengembara ke seluruh dunia dan bekerja dari jauh. Kami baru-baru ini berpindah dari Turki ke Croatia (tempat terbaik untuk melawat Eropah). Untuk tidak menjalani kuarantin di Croatia, anda perlu mempunyai sijil ujian covid negatif yang dibuat selewat-lewatnya 48 jam sebelum kemasukan.
Kami mendapati bahawa ia agak menguntungkan (2500 rubel) dan cepat (semua keputusan datang dalam masa 5 jam) untuk mengambil ujian di lapangan terbang Istanbul, dari mana kami baru sahaja terbang keluar.
Kami tiba di lapangan terbang 7 jam sebelum berlepas, menemui titik ujian. Mereka melakukan segala-galanya secara huru-hara: anda datang, berikan pasport anda, bayar, anda mendapat 2 pelekat dengan kod bar, anda pergi ke makmal mudah alih, di mana mereka mengambil salah satu pelekat ini daripada anda untuk mengenal pasti analisis anda. Selepas anda pergi, dan mereka memberitahu anda: pergi ke tapak ini: , pandu dalam kod bar anda dan 4 digit terakhir pasport anda, selepas beberapa ketika akan ada keputusan.
Tetapi jika anda memasukkan data serta-merta selepas lulus analisis, halaman tersebut memberikan ralat.
Walaupun begitu, pemikiran tentang UX yang "cantik" merayap di kepala saya, di mana, dengan sebarang kesilapan pengendali yang memandu dalam data pasport, tidak ada cara untuk mengetahui keputusan anda.
Sebelum berlepas
Masa berlepas tiba, saya memasukkan data saya dan melihat bahawa dokumen untuk mereka sudah ada, walaupun belum ada keputusan ujian.
Malah jelas bahawa ujian tiba di makmal 1.5 jam yang lalu. Tetapi kemasukan data isteri saya masih memberikan ralat bahawa entri itu tidak dijumpai. Dan yang paling penting, anda tidak akan dapat pergi dan bertanya apa yang salah, kerana. Kami lulus ujian di zon sebelum kawalan pasport.
Semasa menaiki penerbangan, kami diminta untuk mendapatkan keputusan ujian, tetapi, mujurlah, kami dapat meyakinkan wakil lapangan terbang bahawa mereka akan muncul tidak lama lagi (menunjukkan kod bar), dan, sebagai pilihan terakhir, kami akan menjalani kuarantin.
Sebaik sahaja saya menaiki pesawat, kod saya menunjukkan bahawa saya mempunyai ujian negatif.
Semasa ketibaan
Dan di sinilah keseronokan bermula! Sebaik sahaja kami terbang masuk dan menyambung ke WiFi tempatan, ternyata rekod isteri saya tiada dalam pangkalan data. Dan di sempadan itu sendiri, dokumen itu didekati dengan sangat berhati-hati: pengawal sempadan mengambil ujian untuk coronavirus dan membawanya ke bilik berasingan untuk memeriksa realitinya. Kami memutuskan bahawa kami akan memberitahu kisah amanah kami sebagaimana adanya dan mengetahui pilihan yang kami ada.
Semasa kami berdiri dalam barisan, saya memutuskan untuk menyemak data yang betul (saya) dan salah, cara halaman pengesahan bertindak balas.
Ternyata dia menghantar permintaan pos kepada , dengan parameter berikut:
barcodeNo=XX
kimlikNo=YY
kimlikTipi=2
mana kod barNo β nombor kod bar, kimlikNo - ID pasport, kimlik Tipi β parameter tetap sama dengan 2 (jika hanya dua medan pertama diisi). Tiada token kelihatan. Permintaan mengembalikan 1 untuk parameter yang betul (data saya), dan 0 untuk parameter yang salah.
Dari posmen, saya cuba menyusun 40 kombinasi (tiba-tiba ralat satu aksara), tetapi tiada apa yang berlaku.
Pada masa itu, kami mendekati pengawal sempadan, dia mendengar cerita kami dan mencadangkan kuarantin. Tetapi kami jelas tidak mahu duduk di apartmen selama 14 hari, jadi kami meminta untuk menunggu sedikit di zon transit untuk cuba menyelesaikan masalah dalam beberapa jam. Pengawal sempadan memasuki kedudukan kami, pergi untuk melihat sama ada kami boleh duduk di zon putih, dan, dengan persetujuan ketua, berkata: "Baiklah, hanya beberapa jam."
Saya mula mencari telefon mereka yang melakukan ujian mahkota, dan secara selari memutuskan untuk menguji hipotesis gila: jika sistem ini mempunyai UX yang dahsyat, maka sistem keselamatan tidak sepatutnya baik, walaupun gov.tr ββββdomain.
Akibatnya, semasa duduk di atas panggilan, saya menulis skrip kecil yang mengisih semua nombor dari 0000 hingga 9999 dalam medan kimlikNo. barkodTidak kami ada pada pelekat, jadi ia tidak boleh salah.
Bayangkan saya terkejut apabila walaupun selepas 500 permintaan berterusan saya tidak diharamkan dan skrip terus berjalan pada 20 permintaan sesaat dari WiFi lapangan terbang.
Panggilan tidak memberikan banyak kejayaan: Saya dialihkan dari satu jabatan ke jabatan yang lain. Tetapi tidak lama kemudian skrip itu memberikan nilai yang diidamkan 6505, yang tidak sama sekali seperti 4 digit pasport sebenar.
Selepas memuat naik dokumen itu, ternyata ia jelas bukan pasport isteri saya (orang asing Rusia tidak mempunyai nombor sedemikian), tetapi semua data lain (termasuk nama pertama, nama keluarga dan tarikh lahir) adalah betul.
Perkara yang paling menarik ialah kod bar juga tidak rawak, tetapi pergi hampir satu demi satu. Oleh itu, secara teorinya, saya dapat mencari kenalan yang mendapat nombor pasport isteri saya, dan secara umum, mengepam keluar data peribadi orang lain dengan lancar.
Tetapi pada pukul 9 pagi dan satu malam tanpa tidur, saya lewat untuk mesyuarat dalam talian dan gembira kerana mereka membenarkan kami masuk tanpa kuarantin, jadi saya baru sahaja memulakan perjalanan saya di seluruh Eropah.
Sumber: www.habr.com