Ово сам ја, пишем скрипту за набрајање параметара за ПОСТ захтев за гов.тр, седим испред границе са Хрватском.
Како је све почело
Моја супруга и ја путујемо по свету и радимо на даљину. Недавно смо се преселили из Турске у Хрватску (најбоља тачка за посету Европи). Да не бисте отишли у карантин у Хрватској, потребно је да имате потврду о негативном тесту на ковид урађену најкасније 48 сати пре уласка.
Сазнали смо да је релативно исплативо (2500 рубаља) и брзо (сви резултати стижу у року од 5 сати) да урадимо тест на аеродрому у Истанбулу, са којег смо управо одлетели.
Стигли смо на аеродром 7 сати пре поласка, пронашли смо пробну тачку. Они све раде хаотично: дођете, дате пасош, платите, добијете 2 налепнице са бар кодом, одете у мобилну лабораторију, где вам узму једну од ових налепница да идентификују вашу анализу. Након што одете, и они вам кажу: идите на овај сајт: , унесите свој бар код и последње 4 цифре пасоша, након неког времена биће резултат.
Али ако унесете податке одмах након проласка анализе, страница даје грешку.
Већ тада су ми се у главу увукле мисли о „прелепом“ УКС-у, у којем, уз било какву грешку оператера који је унео податке о пасошу, никако да сазнам свој резултат.
Пре поласка
Долази време поласка, уносим своје податке и видим да су документи за њих већ ту, иако још нема резултата теста.
Чак је јасно да су тестови у лабораторију стигли пре 1.5 сат. Али унос података моје жене и даље даје грешку да унос није пронађен. И што је најважније, нећете моћи само да одете и питате шта није у реду, јер. Тест смо положили у зони пре пасошке контроле.
Приликом укрцавања на лет, тражили смо резултате тестирања, али смо, срећом, успели да убедимо представника аеродрома да ће се ускоро појавити (показао им бар-кодове), а ми ћемо у крајњем случају отићи у карантин.
Чим сам ушао у авион, мој код је показао да имам негативан тест.
По доласку
И ту забава почиње! Чим смо улетели и повезали се на локални ВиФи, испоставило се да запис моје супруге није у бази података. А на самој граници документима се приступало веома пажљиво: граничар је урадио тест на корона вирус и однео га у посебну просторију да провери његову реалност. Одлучили смо да испричамо причу о поверењу каква јесте и да сазнамо које опције имамо.
Док смо стајали у реду, одлучио сам да проверим тачне (моје) и нетачне податке, како страница за валидацију реагује.
Испоставило се да она шаље захтев за пошту на , са следећим параметрима:
барцодеНо=КСКС
кимликНо=ИИ
кимликТипи=2
где бар код бр – број бар кода, кимликНо - број пасоша, кимлик Типи – фиксни параметар једнак 2 (ако су попуњена само прва два поља). Није било видљивих токена. Захтев је вратио 1 за тачне параметре (моји подаци), а 0 за нетачне.
Од поштара сам покушао да сортирам 40 комбинација (одједном грешка једног карактера), али ништа од тога.
У том тренутку смо пришли граничару, он је саслушао нашу причу и предложио карантин. Али очигледно нисмо хтели да седимо у стану 14 дана, па смо тражили да мало сачекамо у транзитној зони како бисмо покушали да решимо проблем за пар сати. Граничар је ушао на наш положај, отишао да види да ли можемо да седнемо у белој зони и, уз сагласност шефа, рекао: „Добро, само пар сати“.
Почео сам да тражим телефоне оних који су радили крунски тест, а упоредо сам одлучио да тестирам луду хипотезу: ако овај систем има тако ужасан УКС, онда безбедносни систем не би требало да буде добар, иако је гов.тр домена.
Као резултат тога, док сам седео на позивима, написао сам малу скрипту која је сортирала све бројеве од 0000 до 9999 у пољу кимликНо. баркодНо имали смо налепницу, тако да није могло бити погрешно.
Замислите моје изненађење када ни после 500 непрекидних захтева нисам био забрањен, а скрипта је наставила да ради са 20 захтева у секунди са аеродромског ВиФи-а.
Позиви нису дали много успеха: био сам преусмерен из једног одељења у друго. Али врло брзо скрипта је дала жељену вредност 6505, што уопште није личило на праве 4 цифре пасоша.
Након постављања документа, испоставило се да то очигледно није пасош моје супруге (руски странци чак и немају такве бројеве), али сви остали подаци (укључујући име, презиме и датум рођења) су тачни.
Најинтересантније је да бар кодови такође нису насумични, већ иду скоро један по један. Тако сам, у теорији, могао да пронађем контакте који су добили број пасоша моје жене, и уопште, глатко испумпам приватне податке других људи.
Али било је 9 ујутру и ноћ без сна, закаснио сам на онлајн састанак и било ми је драго што су нас пустили без карантина, па сам тек кренуо на пут по Европи.
Извор: ввв.хабр.цом