Bu benim, Hırvatistan sınırının önünde gov.tr'de bir POST isteğinin parametrelerini numaralandırmak için bir komut dosyası yazıyorum.
Her şey nasıl başladı
Eşim ve ben dünyayı dolaşıyoruz ve uzaktan çalışıyoruz. Yakın zamanda Türkiye'den Hırvatistan'a (Avrupa'yı ziyaret etmek için en iyi nokta) taşındık. Hırvatistan'da karantinaya alınmamak için girişten en geç 48 saat önce yaptırılmış negatif Kovid testi sertifikasına sahip olmanız gerekmektedir.
Testi yeni uçtuğumuz İstanbul havaalanında yapmanın nispeten karlı (2500 ruble) ve hızlı (herkes 5 saat içinde sonuç alıyor) olduğunu öğrendik.
Kalkıştan 7 saat önce havalimanına vardık ve bir test alanı bulduk. Her şeyi kaotik bir şekilde yapıyorlar: geliyorsunuz, pasaportunuzu veriyorsunuz, ödeme yapıyorsunuz, barkodlu 2 çıkartma alıyorsunuz, mobil laboratuvara gidiyorsunuz ve analizinizi tanımlamak için bu çıkartmalardan birini sizden alıyorlar. Sonra dışarı çıkıyorsunuz ve size şunu söylüyorlar: bu siteye gidin: , barkodunuzu ve pasaportunuzun son 4 hanesini girin, bir süre sonra sonuç görünecektir.
Ancak analizi tamamladıktan hemen sonra verileri girerseniz sayfada bir hata görüntülenir.
O zaman bile, pasaport verilerini giren operatörün herhangi bir hata yapması durumunda sonucu bulmanın mümkün olmadığı "harika" bir UX hakkındaki düşünceler kafama sızdı.
Ayrılmadan önce
Kalkış zamanı geliyor, verilerimi giriyorum ve henüz test sonucu olmamasına rağmen onlara ait belgelerin zaten orada olduğunu görüyorum.
Hatta testlerin laboratuvara 1.5 saat önce ulaştığı da açıkça görülüyor. Ancak eşimin verilerini girdiğimde hala kayıt bulunamadı hatası alıyorum. Ve en önemlisi, öylece gidip sorunun ne olduğunu soramayacaksın çünkü... Pasaport kontrolünden önce bölgede sınava girdik.
Uçağa binerken bizden test sonuçları istendi ama neyse ki havaalanı temsilcisini testlerin yakında çıkacağına (barkodları gösterdik) ve son çare olarak karantinaya gireceğimize ikna edebildik.
Uçağa biner binmez kodum testimin negatif olduğu bilgisini verdi.
Varışta
Ve eğlencenin başladığı yer burası! Oraya vardığımızda ve yerel Wi-Fi'ye bağlandığımızda eşimin girişinin hala veritabanında olmadığı ortaya çıktı. Sınırda da belgelere çok dikkatli yaklaştılar: Sınır muhafızı bir koronavirüs testi yaptı ve geçerliliğini kontrol etmek için bunu ayrı bir odaya götürdü. Güven hikayemizi olduğu gibi anlatmaya ve hangi seçeneklere sahip olduğumuzu öğrenmeye karar verdik.
Sırada beklerken, doğru (kendime ait) ve yanlış verileri kullanarak doğrulama sayfasının nasıl tepki verdiğini test etmeye karar verdim.
adresine gönderi isteği gönderdiği ortaya çıktı , aşağıdaki parametrelerle:
barkodNo=XX
kimlikNo=YY
kimlikTipi=2
nerede barkodNo - barkod numarası, kimlikNo - Pasaport Kimliği, kimlikTipi – 2'ye eşit sabit parametre (yalnızca ilk iki alanı doldurursanız). Görünürde hiçbir jeton yoktu. İstek, doğru parametreler (verilerim) için 1, yanlış olanlar için 0 değerini döndürdü.
Postacıdan 40 kombinasyonu sıralamaya çalıştım (aniden bir karakterde hata oluştu), ama hiçbir şey çıkmadı.
O anda sınır muhafızına yaklaştık, hikayemizi dinledi ve karantinayı önerdi. Ama açıkçası 14 gün boyunca dairede oturmak istemedik, bu yüzden sorunu birkaç saat içinde çözmeye çalışmak için transit bölgede biraz beklemek istedik. Sınır muhafızı durumumuzu anladı, beyaz bölgeye oturup oturamayacağımızı öğrenmek için gitti ve liderin de rızasıyla "tamam, sadece birkaç saat" dedi.
Korona testini yapanların telefon numarasını aramaya başladım ve aynı zamanda çılgın bir hipotezi test etmeye karar verdim: eğer bu sistem bu kadar berbat bir kullanıcı deneyimine sahipse, o zaman alan adı gov olmasına rağmen güvenlik sistemi iyi olmamalıdır. .tr.
Sonuç olarak, çağrılar sırasında kimlikNo alanındaki 0000'den 9999'a kadar tüm sayıların yinelendiği küçük bir senaryo yazdım. Bir çıkartmanın üzerinde barkodNo vardı, bu yüzden yanlış olamaz.
500 sürekli istekten sonra bile yasaklanmadığımda ve komut dosyasının havaalanı WiFi'sinden saniyede 20 istek hızında çalışmaya devam ettiğinde şaşırdığımı hayal edin.
Aramalar pek başarılı olmadı: Bir departmandan diğerine yönlendirildim. Ancak çok geçmeden senaryo, pasaportun gerçek 6505 hanesine hiç benzemeyen, imrenilen 4 değerini üretti.
Belgeyi indirdikten sonra, bunun açıkça karımın pasaportu olmadığı ortaya çıktı (Rus yabancıların bu numaraları bile yok), ancak diğer tüm veriler (ad, soyadı ve doğum tarihi dahil) doğruydu.
En ilginç olanı ise barkodların da rastgele olmayıp neredeyse birbiri ardına gelmesidir. Böylece teorik olarak eşimin pasaport numarasını alan kişileri bulabildim ve genel olarak diğer kişilerin özel verilerini sorunsuz bir şekilde dışarı aktarabildim.
Ama saat sabah 9'du ve uykusuz bir geceydi, çevrimiçi bir toplantıya geç kaldım ve karantina olmadan içeri girmemize izin verildiği için mutluydum, bu yüzden Avrupa yolculuğuma yeni başladım.
Kaynak: habr.com