52c1f7442ccea322

52c1f7442ccea322

На Пикабу
поставил 3740 плюсов и 161 минус
отредактировал 1 пост
проголосовал за 3 редактирования
Награды:
самый сохраняемый пост недели 5 лет на Пикабу лучший авторский пост недели
51К рейтинг 80 подписчиков 23 подписки 94 поста 31 в горячем

Lv.2 - Как я заказал не доступный товар еще и со скидкой 85%

После публикации прошлого поста, в котором я купил кондиционер за 1 рубль администраторы сайта, судя по всему, увидели пост на пикабу, исправили ошибки и поблагодарили.

Недочет исправили.
Контент менеджером не был проставлен статус: Нет в наличии.
Ошибка по сути на нашей стороне.

Сам коммент
Человек специально на пикабу зарегистрировался, что бы отписаться. Интересно, правда, почему они в рабочее время на пикабу сидят =) Но это и к лучшему.

В общем почитав комменты мне стало приятно от того, что программисты в целом мое действие оценили в правильном свете, в отличии от гуманитариев, и я пришел к выводу, что буду продолжать пилить посты про уязвимости сайтов с примерами пока мне не сломают пальцы. Так что подписывайтесь кому интересно, посты будут и будет много.

Но есть некоторые но:

1) Некоторые обвинили меня в намерении таким образом получать товары "на халяву" и чуть ли не предлагали уже сухари сушить. Из-за этого я хочу сообщить всем читателям, что покупать товары посредством таких действий я не намерен! Мною движет интерес к самому процессу поиска уязвимостей, потому что найдя ее я могу получить нечто большее - опыт и знания того, как делать не надо =)

2) Ресурсы, которые не имеют возможности оплаты товаров через paysystem сразу после оформления заказа - будут выкладываться с 0day (википедия вам в помощь). Работу сайт с финансовой стороны я тем самым не подорву, а вот руководитель призадумается, кого он нанял. Те же ресурсы, где можно сразу оплатить товар, будут предупреждены о найденной уязвимости и им будет отведено до 18 часов на устранение бага перед публикацией. А то начнут меня тут еще искать, обвинять в понесенных убытках и сухари придется сушить реально.


Пока вроде все, в случае прецедента список может обновляться.

Так, ладно. Пора работать.
Сегодня я покажу Вам, как я оформил заказ на товар, которого не было в наличии со скидкой 85%.
И так, сегодня в качестве примера мы выберем сайт, специализирующийся на продаже модов и другой преблуды для вэйпа. Как раз год петуха. Шучу шуткую, сам не против попарить на качественном клэптоне.

Так вот, вернемся к сайту.

Заходим на сайт, находим недоступный для продажи товар (нас же именно они интересуют). Ну возьмем к примеру вот этого.

Lv.2 - Как я заказал не доступный товар еще и со скидкой 85% Weblooter, Хакеры, Программист, Интернет-магазин, Длиннопост

Данный товар не доступен в стальном цвете. В остальных был доступен.

Порывшись немного я не нашел ничего интересного. Ну как не нашел...

Lv.2 - Как я заказал не доступный товар еще и со скидкой 85% Weblooter, Хакеры, Программист, Интернет-магазин, Длиннопост
Lv.2 - Как я заказал не доступный товар еще и со скидкой 85% Weblooter, Хакеры, Программист, Интернет-магазин, Длиннопост

Снимает "display: none" и кнопка на месте. Нажимаем - выскакивает ошибка.

Lv.2 - Как я заказал не доступный товар еще и со скидкой 85% Weblooter, Хакеры, Программист, Интернет-магазин, Длиннопост

Ой, чет не считается, ругается. Ладно, разберемся в ошибке позже. Пока смотрел на кнопку увидел аттрибут "data-product-id". Очевидно там ID товара. Окай. Время изучить событие на кнопке.

Lv.2 - Как я заказал не доступный товар еще и со скидкой 85% Weblooter, Хакеры, Программист, Интернет-магазин, Длиннопост
Lv.2 - Как я заказал не доступный товар еще и со скидкой 85% Weblooter, Хакеры, Программист, Интернет-магазин, Длиннопост

Из js мы видим, что проверяется длина ".sku-feature" (это класс от select со списком цветов/размеров и т.п.). Далее в нем перебираются option, подхватывается ID товара и это где то обрабатывается. Более подробно вникать нужды пока нет. Окай. И тут у меня появляется безумная даже по меркам говнокода мысля - а что если просто взять ID товара с кнопки недоступного товара и подставить его в кнопку в другой товар, который доступен, выбрав тот же цвет? Пробуем.

Lv.2 - Как я заказал не доступный товар еще и со скидкой 85% Weblooter, Хакеры, Программист, Интернет-магазин, Длиннопост
Lv.2 - Как я заказал не доступный товар еще и со скидкой 85% Weblooter, Хакеры, Программист, Интернет-магазин, Длиннопост

Жмакаем и...

Lv.2 - Как я заказал не доступный товар еще и со скидкой 85% Weblooter, Хакеры, Программист, Интернет-магазин, Длиннопост
Lv.2 - Как я заказал не доступный товар еще и со скидкой 85% Weblooter, Хакеры, Программист, Интернет-магазин, Длиннопост

Блин, минимальная сумма заказа 890р... Придется взять 2. На что только не пойдешь ради подписчиков. Кстати это не особо законно, т.к. у нас в стране запрещено объявлять минимальную стоимость покупки как в offline, так и в online. Оспорить это можно через суд, но, т.к. мы живем в России - всем посрать. Вернемся к оформлению заказа.

Lv.2 - Как я заказал не доступный товар еще и со скидкой 85% Weblooter, Хакеры, Программист, Интернет-магазин, Длиннопост

Кстати да, посмотрите на иконку корзины. Заказ оформлен, а кол-во товаров и сумма в корзине не изменились. Все потому что кусок кода, который оформил заказ, вызвался после куска, отвечающий за вывод инфы о корзине. Ребят, ну не серьезно - это слишком частая проблема. Ну вы же передаете в $_REQUEST данные, по которым вы определяете success операции, ну поставьте вы проверку в шаблоне вывода информации о корзине... Хрен поймешь - купил или нет...


В общем вот такие вот пироги. Этот ресурс меня огорчил еще больше, чем прошлый. В прошлом хотя бы в js пришлось покопаться.

На этом ресурсе есть возможность оплатить через paysystem сразу после оформления, поэтому извиняйте, сегодня без 0day. Отправлю админам инфу о баге и опубликую через 18 часов или после получения ответа об устранении бага от них.


З.Ы. К слову, что бы мои посты было легче искать, я буду использовать уникальный хэштег WebLooter. Подписывайтесь, завтра еще что нить найдем =) А вот и письмо админам.

Lv.2 - Как я заказал не доступный товар еще и со скидкой 85% Weblooter, Хакеры, Программист, Интернет-магазин, Длиннопост
Показать полностью 12

Не доверяйте данным, полученным от клиента или как я купил кондиционер за 1 рубль

Пост ориентирован на программистов. Но и простому человеку, тем более который имеет свой бизнес и хочет выйти в интернет и продавать там, он пригодится для ознакомления как наглядное пособие тому, что заказывать разработку сайта лучше стоит у дорогих, но опытных разработчиков, нежели на каком нибудь сайте фрилансеров у школьников за 10к рублей.


Сейчас я Вам покажу как я купил кондиционер всего за 1 рубль. Поехали.
Заходим на сайт

Не доверяйте данным, полученным от клиента или как я купил кондиционер за 1 рубль Хакеры, Программист, Интернет-магазин, Длиннопост

Отлично. Скорей всего его нет в наличии. Иногда ставят цену 0. Но такой подход говорит, что у сайта нет нормальной cms или есть, но разработчик тупой. Поэтому манагеру пришлось выставить цену 1 рубль, а не отметить, что его нет в наличии. Сам факт - надо бы попробовать купить. Кнопки нет. Окай. Идем на страницу товара, который есть в наличии.
Например вот этот.

Не доверяйте данным, полученным от клиента или как я купил кондиционер за 1 рубль Хакеры, Программист, Интернет-магазин, Длиннопост

Отлично. Смотрим события на кнопке "купить".

Не доверяйте данным, полученным от клиента или как я купил кондиционер за 1 рубль Хакеры, Программист, Интернет-магазин, Длиннопост

Копируем код.

Не доверяйте данным, полученным от клиента или как я купил кондиционер за 1 рубль Хакеры, Программист, Интернет-магазин, Длиннопост

Не плохо. Понятно что за что отвечает. Осталось только подставить данные с нужной нам страницы. В итоге получаем это:

Не доверяйте данным, полученным от клиента или как я купил кондиционер за 1 рубль Хакеры, Программист, Интернет-магазин, Длиннопост

ID я взял с кнопки "запросить цену". Логично же, что оператору на почту должена упасть инфа о выбранном мною товаре. А значит через эту кнопку передается ID.

Вставляем код в консоль и исполняем. И получаем результат true!

Не доверяйте данным, полученным от клиента или как я купил кондиционер за 1 рубль Хакеры, Программист, Интернет-магазин, Длиннопост

Неожиданно. Ну окай. В корзине - так в корзине. Гоу покупать товар.

Не доверяйте данным, полученным от клиента или как я купил кондиционер за 1 рубль Хакеры, Программист, Интернет-магазин, Длиннопост
Не доверяйте данным, полученным от клиента или как я купил кондиционер за 1 рубль Хакеры, Программист, Интернет-магазин, Длиннопост

Все.
Компании повезло - у них нет подключенных платежных систем. В противном случае, если бы они были - я бы оплатил заказ в 1 рубль и на основании ЗоЗПП они обязаны были бы мне его привезти, т.к. товар я уже оплатил. Разумеется они начали бы говниться, вернули бы мне 1 рубль, я пошел бы в суд и через месяцев 4 я бы получил товар. Как раз к лету =)

Для тех кто не в курсе - почитайте отличный пост про подобные ситуации.
http://pikabu.ru/story/itogi_po_sluchayu_s_yeldorado_4151679


Что хочется сказать всем web разработчикам:
Господа. Я на примере Вам показал как я бы за 2 минуты обзавелся бы новым кондеем в случае рабочий paysystem.

Факт есть факт - из-за безответственности программиста компания могла бы потерпеть ущерб в размере ~92к рублей (инфа о цене взята с яндек маркета).
Будте внимательны, и делайте нормальные сайты!


З.Ы. Через минут 10, пока я писал пост, позвонил манагер =) Разговор можно послушать здесь.


З.Ы.З.Ы. Не рекламы ради, а ради фана скидываю логотип этого сайта.

Не доверяйте данным, полученным от клиента или как я купил кондиционер за 1 рубль Хакеры, Программист, Интернет-магазин, Длиннопост

Согласен с лозунгом - я сравнил и выбрал Вас =)

Показать полностью 9

Саратовчанка сфотографировала голого извращенца в окне

В социальной сети ВКонтакте одна из жительниц Саратова пожаловалась на извращенца.


По словам автора поста, маньяк живет на первом этаже дома №80 на улице Пугачева. Когда мимо дома проходят женщины, мужчина забирается на подоконник и мастурбирует, уточнила женщина в соцсети.


"Здравствуйте. Это полный беспредел в центре города. На протяжении лет 12 наблюдается вот такая картина. Мужчина лет 45-50 запрыгивает на окно, когда идут девушки или женщины. Он полностью голый занимается мастурбацией. Причём это вход в центр планирования семьи. Там постоянно ходят беременные женщины! Он смотрит в окно и выжидает именно женщин. Я хожу в этом месте очень много лет. Когда я это вижу из далека, то, конечно, отварачиваюсь и делаю вид, что не вижу. Но мое терпение лопнуло сегодня. И когда мужчина увидел, как я его фотографирую, он очень напугался и спрыгнул с окна, закрыв темные шторы", - написала очевидец.


P.S. Я правильно понял, что автор поста в ВК 12 лет КАРЛ (!!!) ходила, терпела, и вот сегодня она решила - надо положить конец этой ситуации? Предлагаю ее наградить медалью "самый терпеливый россиянин".

Саратовчанка сфотографировала голого извращенца в окне Голый мужик, Саратов, Эксгибиционизм
Показать полностью 1

Проверяли запросы в webmaster'е, а тут...

Проверяли запросы в webmaster'е, а тут...

В свете последних событий

В свете последних событий

Убираем дыры в стене в ванной

Как я писал пару постов назад - я делкю ремонт в ванной. Я любитель, ни разу до этого не делавший ремонт, поэтому всю инфу черпаю из ютуба и у ветеранов дела.

Так вот. Сбил я пару дней назад плиты и заметил, что стена под ними сырая. Нет, не просто сырая, а прям вода водой. Фото старок, но суть будет ясна.

Убираем дыры в стене в ванной Ремонт, Ванная, Соседи, Длиннопост

Сори за вертикалку - в мобильной версии пикабу х поймешь как удалить или перевернуть изображение. Так же на фото виден эксперимент что лучше клеит плитку пвх. Оказалось к акриловой краске лучше идет силиконовый герметик, но сейчас не об этом.


В общем начинаю я вычищать эти дыры в стене, а они как каша, срезаются как масло, пролежавшее на солнце летом.


В общей сложности самой больной оказалась та, что видна на фото и до очистки. В длину она оказалась 16см почти, в высоту 6-7 см. Глубина - см 4. После очистки видна была арматура внизу плитки.


Так дело не пойдет. Я конечно планировал сделать легкую косметику и залипить все плиткой пвх, но это дичь. Такими темпами я через год смогу из ванной наблюдать какие котлеты жарит жена. Надо заделывать.


Первая мысль была была заделать все шпаклевкой (да, нуб и новичек). Результат очевиден. Разумеется я сушил перед этим стену 2 дня. Ах да, я же пруф кидал. Вот фото сушки и дыр. #comment_79134578


В общем обсудив со знатоками я открыл для себя алебастр. Стоит копейки - 180р за 5 кг порошка. Но тут начинается веселая игра - успей замазать пока не высохла. А засыхает она минуты за 3-4. При чем в это время включено и время на мешку. На 1кг надо где то 300-400 мл воды. Но лучше мешать мелкими порциями, грамм по 250-300. Ибо если не успел все намазать (а ведь еще размазать надо и лишнее убрать) - перевел продукт. К слову - алебастр боится воды. Лучше его покрыть сверху в несколько слоев грунтом. Ах да - шпатель сразу в воду, после нанесения! А то придется новый брать.


Я делал так - сначала вычищаем всю область уже погибшей стены, потом сушим. Сушим до сухого состояния. Кисточкой убираем всю пыль, мелкие камешки и вообще все, что сыпится. Лучше перечистить чем недочистить. Далее слой грунта. Ждем час. Разводим эту хренотень, замазываем дырки и убираем лишнее. Через 5 минут после нанесения можно покрывать грунтом и дальше чем хотим. Я планирую покрыть грунтом в 5-6 слоев по периметру ванной и в 2 в остальных местах. И после на все еще штукатурку с водооталкиванием.

Сейчас это выглядит так.

Убираем дыры в стене в ванной Ремонт, Ванная, Соседи, Длиннопост

Если у кого будут советы или предложения на эксперименты - пишите. Может что нить замутим.


К слову, может кто подскажкт - есть ли смысл убирать краску? Пвх к ней не плохо крепится, да и вроде как воду отталкивает. Ремонт делается с расчетом года на 3-4. И если есть смысл - то почему и чем ее, мать ее, счищать.


P.S. Как выяснилось алебастр воды боится, но не чудотворной туателной. Высыпать уже застывшие кусочки в туалет - плохая идея. Как я это выяснил - не важно. Просто не делайте так!

Показать полностью 2

А Вы точно про нас читаете?

Прочитал http://pikabu.ru/story/prodazha_kvartiryi_i_obshchenie_s_rie... и вспомнил как я машину продавал.


Тоже изначально не понимал - зачем люли пишут "перекупов не беспокоить", но после нескольких звонков понял. Запомнился самый сочный из них.


Звонок. Тело говорит, что уже нашел мне покурателя, сам он типа автоподборщик. Ну ок, думаю, глаголь дальше. Дальше он лечит потрясную историю, что хочет заказчика обмануть, мол часто машины меняет, и типа "а давай в договоре +50к, ты мне после эти 50к вернешь и машину в итоге сегодня же продашь". Дикое палево, старый развод. Если кто не в курсе - напишу в комментах схему. Ну, думаю, дай я твой адрес запишу, что бы знать на случай всякий. Он мне его диктует, продолжает ссать в уши, а я тем временем гуглю адрес. Само собой первые же ссылки про то, что ребята кидают и описана эта схема про 50к. Улыбнулся и дальше диалог:

- слушайте, я тут ваш адрес пробил. Пишут, что п@#$ры конченные.

- не может быть! Вы точно про нас читаете?

- напротив Вас такой то торговый центр, а сами вы подвальном этаже?

- ну да...

- да, боюсь п@#$ры конченные - это вы.

Бросают трубку. Ох уж эти ваши интернеты, всю малину испоганили.

Может мне попробовать зрительный контакт?

Отличная работа, все прочитано!