Дырявые два Гига, или о том как индусы реализуют ТЗ на китайском из песочницы

1. Дырявые два Гига, или о том как индусы реализуют ТЗ на китайском из песочницы
2.  
3. Весь 2012 объявлен годом DropBox'a, и эвенты с последним протекают чуть реже, чем митинги в Москве. Возможно это как-то связано, кто знает. Но вот очередная раздача халявы, которую нашли наши Хабровцы. В час ночи 20 тысяч красноглазых Хабравчан полезли смотреть кто и как раздает облако кусками по 2 гигабайта. Чего греха таить — я тоже полез. Любознательность, однако.
4.  
5. Что нарыл — под хаброкатом.
6.  
7.  
8. b.l.d.t.0.c.f.w.i.u.2.8.
9.  
10.  
11. Естественно, первое что мне открылось-это обычное поле ввода для почты. С небольшой стандартной проверкой на правильность символов. Причем проверка была только на клиентской стороне. Кроме поля с почтой и сабмита форма не передавала ничего. Кроме того, в результатах обработки формы оказалась обычная страничка, без редиректа. Что за нубство, подумал я и нажал F5. На почту прилетел второй промокод. Слегка офигев, и прикинув что это быстро прикроют, потеребил желанную кнопочку еще немного и полез смотреть что с кодами. Все коды состоят из 12 символов. Подобрать их перебором фактически нереально, хотя народ и пробует. Говорят, прокатывает.
12.  
13. c_6_t_d_h_m_g_o_n_4_i_s
14.  
15.  
16. Война с китайцами началась в 4-5 утра. Для начала они попросили индусов проверять, что поле, в котором указан телефон не пустое. Ссылка
17. /3DropBox/3DropBox_Registration.do?lang=eng&Mobile=
18. которую заранее приготовил топикстартер, перестала давать промокод. Но как и все написанное индусами это было совершенно дыряво, и решалось одной кавычкой. Наролив еще пару кодов по ссылке с кавычкой я затаился и стал ждать. Перебор телефонных номеров через подстановку цифр в запрос небольшим скриптом был отложен на пару часов.
19.  
20. j s k 8 z z k 6 6 z u x
21.  
22.  
23. В это время большая часть народа наткнулась на непроходимую защиту индусов и перетекла в чат, ссылку на который все так же любезно предоставил топикстартер.
24.  
25. s-w-h-3-2-2-m-m-1-1-e-3-
26.  
27.  
28. В чате коды разлетались как горячие пирожки, развернулась настоящая борьба в которой выигрывал быстрейший. Через некоторое время коды стали слегка кодировать перед вбросом, доходило даже до небольших квестов…
29.  
30. _b13_z10_v9d_ip3_
31.  
32.  
33. А в это время Индусы предлагают ограничить трафик к скрипту только китайскими IP, и (ура) прилепляют нормальную проверку на телефонный номер. Но, к сожалению, скрипт обработки формы все еще принимает сколь-угодно-много-раз правильный запрос, и валит вам на почту кучу промокодов. Уже раздав их в чате приличное количество, делюсь с Хабравчанами уловом и призываю не делать таких элементарных ошибок.
34.  
35. 1. Не позволяйте своим скриптам обрабатывать одну и ту же форму два раза. (капчи самой простой будет достаточно)
36. 2. Не забывайте делать элементарную страничку с редиректом сразу после обработки данных.
37. 3. Всегда помните, что русские готовы отдать любые деньги, лишь бы получить халяву.
38.  
39. И чтобы не превращать топик в склад, еще парочка из улова. Буду потихоньку подкидывать остатки в чат жабера. Тут лички не доступны.