Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Ciekawa podatność: mogli mieć burgery za darmo, wystarczyło do zamówienia dodać -1 pudding
Firma Upserve chyba słusznie uruchomiła program bug bounty. Niedawno mieli zaskakującą podatność umożliwiającą reset hasła dowolnemu użytkownikowi na znaną atakującemu wartość, teraz mamy może coś jeszcze ciekawszego – tworząc zamówienie można było zmniejszyć jego finalna kwotę:
The total amount of an order could be modified by including an item with a negative quantity.
Ujemny pudding
Zmianę trzeba było wykonać w JSON-ie, i wyglądała ona mniej więcej tak (dodanie stosownego produktu):
{„item_id”: „9169bfc1-2ee1-455b-ad65-aeadd36f46eb”, „name”: „BreadPudding”, „price”: 900, „quantity”: -1, „instructions”: „”, „total”: 900, „modifiers”: [], „sides”: []}
Wprawdzie firma broni się, że takie zamówienia mogłyby być wyłapane przez restauracje, ale tak czy siak przyznano badaczowi nagrodę $3500.
–ms
Uhu, czas przetrzepać krajowe przepyszne i okolice ;o)
Mi pyszne.pl nic nie dało i dostałem tylko kilka kuponów zniżkowych na 10 zł za anulowanie mojego zamówienia przez restauracje, niestety, później dowiedziałem się, że winą za anulowanie zamówienia obarczany jest restaurator :(
W tym roku, chyba jakoś w okolicy lutego to było, na stronie do składania zamówień sieci pizzeri z kapeluszem zauważyłem, że jedna pizza była oznaczona ceną zero zł.
Trzeba było wyklikać pewną minimalną kwotę zamówienia. Akurat zamawiałem większa ilość kożystając z odpowiednich promocji (4 pizze). Do zamówienia dodałem 6 razy tę pizzę za zero zł (można było zamówić tylko średnią.
Płatność przeszła bez problemu, zamówienie też. W momęcie kiedy przyjechało wszystkie 10 sztuk nie byłem jakoś specjalnie zaskoczony. W podziękowaniu za zgłoszenie problemu obsłudze technicznej dostałem bon na JEDNĄ pizzę ;P