Комментарии
Для быстрого перебора вместо скрипта можно юзать бесплатную версию Burp Suite. Там все для этого есть. А так IDOR, отсутствие лимита на запросы. Классика. Хотя лимит тоже можно обойти, смотря как он сделан.

В ситуации, когда надо получить результат в крайне ограниченное время, уж точно лучше написать скрипт на хорошо знакомом языке, чем пытаться изучить незнакомый софт. Тем более там писать-то)

Совершенно согласен. Просто это де-факто основной инструмент для веб тестирования, вот и упомянул. Вдруг автор решит еще IDOR поискать где-нибудь.
alzimin, Слил данные своей жены )) И, кстати, не забыл ее поздравить с днём рождения? ))
был рад, что нас пропустили без карантина

Что-то тема не раскрыта — результаты теста жены вы ведь так и не получили? Почему тогда пропустили?

Получили, просто он на другой номер паспорта.
Но т.к. имя/фамилия и дата рождения совпадает, к тому же у нас был barcode – нам поверили.
Но было 9 утра и ночь без сна, я опаздывал на онлайн встречу и был рад, что нас пропустили без карантина, поэтому просто начал свой путь по Европе.


Вот так всегда! На самом интересном месте! (с)
Тут был комментарий про то, на чем писал скрипт (я его случайно замьютил).

Я быстро запустил через Swift (т.к. в прошлом мобильник и рука набита сделать такое за 1 минуту), но второй бы по приоритету был бы питон.
интересная статья! грустно осознавать, что гос. домен не гарантирует высокий уровень сохранности данных. если раскручивать тему с получением персональных данных и дальше… а как там в Турции с контролем за сохранностью и приватностью персональных данных?)
Учитывая отзывы от тамошних товарищей про открытую коррупцию на всех уровнях государства, смею предположить что никак примерно.
Спасибо, я не разбирался в вопросе, но местные продвинутые ребята говорили, что там очень много распила денег и, предпологаю, реализация соответствующая (и товарищ выше тоже это подметил).

Тут и в платформах онлайн-обучения есть 'дыры'. Например в onlinemektep.org. Я получал плохие баллы по тестам, 7/10. После этого решил изучить систему, и понял что UI/UX написан на фреймворке Vue.js. А данные в шаблон передаются по открытому JSON который виден в Devtools>Application>Storage. Правильные ответы помечены флажком "right":true. Когда я это узнал, радости не было предела! Только жаль что JSON Beautifier всегда выдает ошибку неправильного синтаксиса.

Только жаль что JSON Beautifier всегда выдает ошибку неправильного синтаксиса.

Вполне возможно, что там просто не JSON, а джаваскрипт. Можно попробовать сделать евал в консоли

Смысл такое ломать? Это же прототипы, на быструю руку сделаны

хак кривой реальности, но сгодится, если не часто такое предпринимать ))

А зачем номер паспорта "526**6505" замазывали? Сами ж говорите — он неизвестно чей. Так что для читателей это просто число, ничего с ним не сделать. :)


А за 2 часа вполне можно было взять страницу "своего" результата, в HTML подправить имя-фамилию и показать как результат жены :)


А как сейчас — погранец мог бы посмотреть на женин результат и сказать — "чё это вы мне показываете, у вас номер пачпорта не такой!"

Замазал для приличия, это чужой паспорт.


Прилетали люди из Стамбула с одинаковыми системами теста, на них был QR код ведущий на официальный сайт, где были написаны данные, пограничники уходили в отдельную комнату, где специальные люди проводили с распечаткой пару минут. Догадываюсь, что тут риски были слишком большие и не стоили себя ;)

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.