Programować każdy może, ale czy powinien???

[Michal Kochanowicz]

Witay

Chcielibyśmy przedstawić krótką historyjkę związaną z pewnym formularzem
zgłoszeniowym na pewien zlot.

Początkowo w formularzu tym można było wpisywać dowolne emaile i parę
osób nie kochających spamu wpisało adresy typu jasiu at costam.

W kolejnej wersji adresy email zaczęły być używane do wysłania URLa, pod
którym można edytować swoje dane. Jak się domyślacie niektórym mogło to
sprawić pewien problem.

Ponieważ niektórym z niektórych nie chciało się czekać na reakcję autora
formularza postanowili poradzić sobie sami.

Co ustalono:
- Tekst wprowadzony w formularzu nie jest eskejpowany -> można sobie
  wstawiać obrazki i takie tam.
- W pliku HTML znajdują się adresy wszystkich zapisanych -> chłopaki z
  Korei już się cieszą.
- Aby edytować swoje dane trzeba kliknąć link, który jako argument
  przyjmuje email. Można wpisać dowolny. Whom do you want to spam today?
- Link otrzymany mailem wyglada tak:
  http://zlot.pld-builder.net/dane.php?id=24&mail=kloczek@rudy.mif.pg.gda.pl&cod=65511
- Link zawiera ID, oraz super tajny kod.
- Super tajny kod jest generowany tak:
  $super_tajny_kod = 65535 - $id

Powyższe informajce są wystarczające żeby poprawić własne dane, nawet
jeśli ma się nieprawidłowy email. Wystarczy przeiterować po wszystkich
id aż trafi się na prawidłowe.

Aby ułatwić sobie (i innym) to zadanie powstał załączony skrypt.
Wystarczy uruchomić go podając jako parametr email (lub to co wpisaliśmy
rejestrując się). Np tak:
sh hack-the-zlot.sh jasiu%20at%20costam
Skrypt wygeneruje URL w który należy kliknąć, aby przejść do formularza
edycji.


Pozdrawiają, wyrażając nadzieję że autor nie pracuje w mBanku,
Michał Kochanowicz & Marcin Nowak
-------------- następna część ---------
Załącznik, który nie był tekstem został usunięty...
Name: hack-the-zlot.sh
Type: application/x-sh
Size: 365 bytes
Desc: nie znany
Url : /mailman/pipermail/pld-users-pl/attachments/20040626/f28570e2/hack-the-zlot-0001.sh