Подозреваю, что нашел потенциальную уязвимость в сервисе, который:
- используется людьми, благополучие которых важно для меня
- оперирует денежными средствами (в т.ч. вышеуказанных людей)
Собственно вопросы:
- Посоветуйте сервис или же достаточно простой инструмент для анализа сырых данных на предмет выявления последовательностей
- Скорее всего понадобится максимально дешевый (для сервера) способ спарсить ответы на большое количество запросов, формируемых по известному алгоритму (подходит под определение брутфорса кстати?)
Что известно:
- Представители сервиса старательно замалчивают (я точно знаю) минимум два факта исчезновения д/с при операции с сервисом, единственный официальный комментарий на стороннем ресурсе (!!!) сообщает о неких технических «неполадках» и обещает всем скорое решение проблемы
- Данные сервер возвращает в виде хтмл-страницы, из неё нужны данные двух элементов дом с известными id, в ответ на get-запрос
- Каждая сущность данных, подвергаемых анализу на последовательности: 12 символов, 0 - 9
- Валидация из второго пункта проста (до абсурда) - POST запрос из формы из двух текстовых инпутов, без капчи, без проверки печенек, без авторизации какой-бы то ни было и т.д. После этих нехитрых действий (на минуточку с деньгами пользователей) Ajax'ом присылает ответ (один из трёх вариантов строки, известной длинны и содержания)
- ДДоС протекция где-то была заявлена, но я с наскока никакой капчи или хттп ошибки получить не смог (тупо тор-браузером постарался отправить максимальное кол-во запросов с одной и той же «личности»/ip)
- Думается мне, там под капотом php на шаред-хостинге, завтра соберу еще множество интересных фактов, могущих помочь в решении проблемы
Дисклеймер:
Прошу прощения за ошибки - я давно неграмотный. Я не веб-разработчик ни одного раза, даже не тыжпрограммист, поэтому мне простительно обращение за помощью в настолько простой задаче. Помимо этого, речь идёт о возможной уязвимости, позволяющей воровать у конечного пользователя (который не виноват) и если мне кто поможет подтвердить и отправить детальный отчет - возможно честный человек сохранит лишнюю копейку, а мамкин хацкер и так найдёт кого поломать. На самом деле предыдущий факт единственное (ну и то что у друзей деньги украли и еще могут) что меня сподвигло сюда принести это, иначе я бы с удовольствием покопался сам (пусть не самое лучшее, но рабочее решение я найду 100%, вроде ничего сложного не предвидится), и если вдруг тема не нужна - закрывайте, разберусь сам.
PS Если кто-нибудь от меня из местных ждёт чего-нибудь по другим вопросам, прошу прощения, период суеты, ничего не успеваю, ничего не получается, если важно - лучше напомнить)
PPS Если вдруг я совершаю ошибку - прошу аргументированно остановить (может так делать не стоит? почему? чем грозит?) пока я еще только анализировал открытую инфу и не более)
PPPS Надеюсь все поняли, что пользовать уязвимость я не буду (разве что для теста у себя украду пару сатоши), сообщу всё что выяснится владельцу, никаких вознаграждений мне не надо (можно украденное друзьям вернуть, светлой кармы ради и желательно за счет разработчика). Да даже скандала в паблике устраивать большого желания нет, особенно если владелец поведёт себя достойно разумно закроет эту багу перепишет/перезакажет свою аппу
PPPPS Есть вероятность что я в силу различных обстоятельств я просто ошибся / завтра всё решится / вообще всё не так как описано... но проверить, думаю, стоит.
