Крепкий орешек
Сегодня Яндекс.Такси создал пробку на 40 минут в районе Фили. Таксистам массово пришли заказы в одну точку.
Есть такая уязвимость - "ошибка бизнес логики". Знаете что это такое? Это когда уязвимости в коде нет, а атака завершилась успешно. То есть участки системы компрометируют друг друга.
Вот кажется мне, что тут проблема именно в этом. Где - то можно зарегать N аккаунтов без нужных проверок, а где - то есть какое-то апи открытое, позволяющее сделать заказ. Каким - то скриптом взяли N фейковых аккаунтов и запустили скрипт на создание заказа. Ситуация получилась смешная ) Советую Яндексу почаще устраивать баг баунти.
Помните, как в крепком орешке 4 там светофоры все зелеными делали и была прям целая теория как обрушить городскую инфраструктуру в несколько этапов. Вот чет подобное сегодня произошло по ходу, но в тестовом формате.
Не такая уж и фантастика, получается.
Сегодня Яндекс.Такси создал пробку на 40 минут в районе Фили. Таксистам массово пришли заказы в одну точку.
Есть такая уязвимость - "ошибка бизнес логики". Знаете что это такое? Это когда уязвимости в коде нет, а атака завершилась успешно. То есть участки системы компрометируют друг друга.
Вот кажется мне, что тут проблема именно в этом. Где - то можно зарегать N аккаунтов без нужных проверок, а где - то есть какое-то апи открытое, позволяющее сделать заказ. Каким - то скриптом взяли N фейковых аккаунтов и запустили скрипт на создание заказа. Ситуация получилась смешная ) Советую Яндексу почаще устраивать баг баунти.
Помните, как в крепком орешке 4 там светофоры все зелеными делали и была прям целая теория как обрушить городскую инфраструктуру в несколько этапов. Вот чет подобное сегодня произошло по ходу, но в тестовом формате.
Не такая уж и фантастика, получается.