Как взломать интернет-магазин. Часть 2

А вот ещё история из взлома е-коммерса. Как-то на заре развития электронной коммерции нами был сделан магазин для фирмы, торговавший всякой элитной одеждой — куртками за штуку евро и прочей шнягой.

Дело было в начале нулевых, поэтому оплата кредиткой и электронными кошельками была ещё не модной, а оплачивали заказы по старинке — наложенным платежом. Мол, мы вам пришлём товар, там внутри будут координаты, куда перевести сколько денег, вы ж переведите, да? В Украине такая история не прошла бы никогда, но в Германии и Австрии эта система оплаты существовала уже многие годы, только вместо сайтов были бумажные каталоги.

Да, поэтому одним из требований клиента стало ограничить адрес доставки Германией.

Сайт был разработан и ушёл в продакшен, но в один прекрасный день на него зашёл простой сербский паренёк и решил себе заказать шмоток. Его немного смутило, что форма адреса не давала ему ввести свой адрес в Сербии, но вскоре он нашёл выход. И выход был поистине изящен.

Многие современные формы для ввода адреса имеют набор полей типа «Country, City, Street, House Nr» а дальше идёт «Address line 2» или «Additional address» или что-то в это духе. Идея в том, что в эту строку можно вписать корпус, этаж, номер квартиры или название фирмы (для доставки в офисное здание). В общем случае это такая перестраховка на случай если ваш адрес не сводится к банальной «Улица — дом», а требует уточнения типа «второй дом за поворотом на выезде из города через шоссе имени Леннона».

Из такой формы по шаблону генерируется наклейка на посылку и там уже задача почтальона на месте разобраться, как эту строку интерпретировать.

На этом лирическое отступление закончилось и началась правда жизни.

Вы уже догадались, что сделал наш сербский чувак? Правильно, в дополнительный адрес он вписал «Белград, Сербия» — и посылка успешно улетела к нему через границу.

Вот как-то так:


Мораль истории — для взлома магазина не всегда нужно обладать хакерскими навыками, и даже знанием веба иногда обладать не нужно.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *