Это архивный пост от 07.04.2021
А вот ещё история из взлома е-коммерса. Как-то на заре развития электронной коммерции нами был сделан магазин для фирмы, торговавший всякой элитной одеждой — куртками за штуку евро и прочей шнягой.
Дело было в начале нулевых, поэтому оплата кредиткой и электронными кошельками была ещё не модной, а оплачивали заказы по старинке — наложенным платежом. Мол, мы вам пришлём товар, там внутри будут координаты, куда перевести сколько денег, вы ж переведите, да? В Украине такая история не прошла бы никогда, но в Германии и Австрии эта система оплаты существовала уже многие годы, только вместо сайтов были бумажные каталоги.
Да, поэтому одним из требований клиента стало ограничить адрес доставки Германией.
Сайт был разработан и ушёл в продакшен, но в один прекрасный день на него зашёл простой сербский паренёк и решил себе заказать шмоток. Его немного смутило, что форма адреса не давала ему ввести свой адрес в Сербии, но вскоре он нашёл выход. И выход был поистине изящен.
Многие современные формы для ввода адреса имеют набор полей типа «Country, City, Street, House Nr» а дальше идёт «Address line 2» или «Additional address» или что-то в это духе. Идея в том, что в эту строку можно вписать корпус, этаж, номер квартиры или название фирмы (для доставки в офисное здание). В общем случае это такая перестраховка на случай если ваш адрес не сводится к банальной «Улица — дом», а требует уточнения типа «второй дом за поворотом на выезде из города через шоссе имени Леннона».
Из такой формы по шаблону генерируется наклейка на посылку и там уже задача почтальона на месте разобраться, как эту строку интерпретировать.
На этом лирическое отступление закончилось и началась правда жизни.
Вы уже догадались, что сделал наш сербский чувак? Правильно, в дополнительный адрес он вписал «Белград, Сербия» — и посылка успешно улетела к нему через границу.
Вот как-то так:
Мораль истории — для взлома магазина не всегда нужно обладать хакерскими навыками, и даже знанием веба иногда обладать не нужно.
Photo by Mika Baumeister on Unsplash