Pull to refresh

Обезьянка со скрипкой, или как я неожиданно сэкономил 790 рублей с помощью Fiddler

Reading time 3 min
Views 11K


TL;DR: случайно нашёл простой способ купить платный сервис за 1 рубль вместо полной суммы. Сообщил об этом администраторам ресурса, в итоге получил год подписки бесплатно. Для прожжёных багхантеров – ничего интересного.

Давно хотел научиться уже наконец смотреть фильмы на английском в оригинале. С техническими вещами (лекции, курсы, семинары и т. п.) особых проблем у меня нет – но вот с художественными фильмами и даже играми беда-печаль.

А между тем качество перевода на русский зачастую оставляет желать лучшего. Вот, к примеру, несколько кадров из русской локализации Dead Space 3:

«Вроде понятно.»
(выглядывая из-за угла в поисках противника) Looks clear.


«Покинуть мост!»
Clear the bridge!


«Руку!»
Give me a hand!


Я – очень обязательный и целеустремлённый человек, поэтому минимум раз в год обещаю себе подтянуть английский. Правда, постоянно как-то так в жизни получается, что возникает огромное количество более срочных дел – родные, друзья, Skyrim — поэтому на английский времени не остаётся. Прямо заговор какой-то.

Не так давно у меня случилось очередное обострение, и я стал шерстить Сеть в поисках какого-нибудь подходящего сайта, обучающего английскому. Перебрал несколько вариантов; в итоге остановился на одном, который привлёк внимание интерфейсом и некоторыми заявленными возможностями. На одном из разделов сайта оказались сериалы на английском с весьма, на мой взгляд, удобно сделанными субтитрами — ну и прочими вкусными плюшками типа словаря и комментариев к сложным и тонким деталям языка.

После ознакомления с демо-версией происходящего было принято решение, что надо бы купить полный доступ ко всем сериям. Вдоволь поплакав над своими кровными денежками, я проследовал на страницу оплаты товара.

Страница как страница, ничего особенного
Слева выбираем продукты, справа появляется посчитанная цена. Потом нажимаем на «Оплатить картой», появляется окошко оплаты, оплачиваем. Всё стандартно.



И тут меня почему-то потянуло открыть Fiddler. Я много слышал про то, что умные люди с его помощью умеют встраивать XSS, списывать с мобильника деньги, красть учётки от контакта и взламывать Пентагон. У меня самого так никогда не получалось, но ведь рассказывают же!

Итак, я запустил Fiddler, нажал на кнопку «Оплатить» — и увидел вот такую картину:



Выделенный POST-запрос имел следующий вид:



Я с удивлением обнаружил, что там содержится до боли знакомая мне сумма моего заказа, которая приходит в ответе от сервера.

Известно, что Fiddler может перехватывать не только исходящие, но и входящие запросы. Я перевёл его в этот режим.

Разумеется, все знают, где находится эта кнопка. Для остальных я на всякий случай сделал скриншот:


После этого я попробовал оплатить заказ ещё раз — и, когда сервер вернул мне ответ «1580 рублей», я ничтоже сумняшеся переменил его на несколько меньшую цену в 80 рублей:



Открывшееся окошко платёжной системы подтвердило, что заплатить нужно именно столько:



Насторожившись, я ввёл данные карты и скрестил пальцы…

Через несколько секунд окошко сообщило, что оплата успешно прошла.

А ещё через пару секунд зажужжал телефон – это пришла SMS с подтверждением из банка.


Тем временем на почту поступили письмо от платёжной системы с подтверждением оплаты и письма от ресурса, поздравляющие с приобретением системы.



А в личном кабинете на сайте появились новые возможности, честно приобретённые мной со скидкой в 94.9%.


«Ого!», — подумал я и пошёл писать письмо администраторам ресурса. Отдельных способов связи для такого рода сообщений я не нашёл, поэтому просто написал в техподдержку.

Оповещение об уязвимости (кликабельно)


Отправил обращение я около полуночи. К обеду следующего дня мне написал специалист техподдержки, поблагодарил за информацию и сообщил, что уязвимость закрыта. Я был приятно удивлён оперативностью ответа.

Переписка с техподдержкой (кликабельно)

В качестве бонуса предложили доступ к любой из платных услуг сайта; я, разумеется, выбрал сериалы.

Теперь-то уж наверняка буду смотреть.

Буду рад услышать отзывы, советы и мнения читателей в комментариях. Также предлагаю поучаствовать в коротеньком опросе общественного мнения.

P.S.
Когда попробовал проверить уязвимость после фикса – получил ошибку «Неверная операция» или что-то типа того. Но, видимо, я сделал слишком много запросов, потому что сейчас при подобных попытках (причём даже с разных IP-адресов) я уже пятый день вижу одно и то же сообщение «Повторите попытку позже».



Похоже, платёжная система меня таки забанила на некоторое время. :D

P.P.S.
Особо въедливые читатели могли заметить, что на скриншотах была указана сумма в 1580 рублей, а в заголовке статьи фигурирует 790.

Разгадка проста: изначально я планировал купить две услуги, но потом рассудил, что мне и одних сериалов за глаза хватит.

Ведь я – очень обязательный и целеустремлённый человек.


Здесь приводится официальная версия (сокращённая и отцензурированная).
Only registered users can participate in poll. Log in, please.
Нарушили ли приведённые в статье действия правила посещения сайта (в частности, пункт 3.2: «Использование Сайта иными способами, в том числе путем использования размещенного на Сайте контента, а также входящих в состав Сайта элементов дизайна, программ для ЭВМ и баз данных, их декомпиляции и модификации, строго запрещено. Использование Вами Сайта не должно нарушать имущественных и/или личных неимущественных прав третьих лиц, а равно запретов и ограничений, установленных применимым правом, включая без ограничения: авторские и смежные права, права на товарные знаки, знаки обслуживания и наименования мест происхождения товаров, права на промышленные образцы и т.д.»)?
49.61% да 63
50.39% нет 64
127 users voted. 120 users abstained.
Only registered users can participate in poll. Log in, please.
Какую ответственность можно понести за подобные действия? Если выбрали первый пункт – поделитесь, пожалуйста, объяснением в комментариях
29.2% уголовную 40
25.55% административную 35
16.79% гражданско-правовую 23
45.99% никакую 63
137 users voted. 121 users abstained.
Only registered users can participate in poll. Log in, please.
Я теперь считаюсь багхантером?)
78.33% да 141
21.67% нет 39
180 users voted. 109 users abstained.
Tags:
Hubs:
If this publication inspired you and you want to support the author, do not hesitate to click on the button
+11
Comments 12
Comments Comments 12

Articles