1. PHP / Говнокод #23242

    +4

    1. 1
    http://blog.extremehacking.org/blog/2017/07/31/hungarian-hacker-arrested-pressing-f12/

    Вкратце: в Будапеште за миллион баксов набыдлокодили систему продажи билетов на общественный транспорт с кучей багов, как например поле с суммой было readonly, но если поправить html в браузере, то можно цену поменять, а на бэкенде никто не стал проверку суммы делать. Пацанчик этот баг нашел, написал в саппорт, а через 2 недели его мусора загребли.

    Запостил: j123123, 05 Августа 2017

    Комментарии (15) RSS

    • Всё правильно сделали. Сегодня он убрал атрибут «readonly», а завтра взорвёт ядерный реактор через Интернет.
      Ответить
      • Убрать у ядерного реактора атрибут readonly дорогого стоит
        Ответить
      • Можно подвинуть в браузере div'ы со стержнями.
        Ответить
        • А если при активном окне браузера удержать клавишу F11, то можно вызвать землетрясение.
          Ответить
          • > землетрясение
            Скорее эпилепсию.
            Ответить
          • В новой убунте от этого вообще вся гуйня зависла к хуям. Пришлось перезагружаться.
            Ответить
      • Ну как, взорвал?
        Ответить
    • >сли поправить html в браузере, то можно цену поменять, а на бэкенде никто не стал проверку суммы делать.

      именно по этому я за единую модель, из которой генерится и фронт, и бек
      Ответить
      • Да чёрт с ними, с моделями. Цена должна храниться в базе и при расчёте окончательной стоимости браться из базы, а не с фронта. Вообще расчёты должны производиться на беке, потому что фронт легко хакнуть.
        Ответить

    Добавить комментарий