Как в России avito, так и в Молдове существует популярный сервис доски объявлений 999.md.
Однажды моя знакомая попросила помочь продать свой телефон.
Т.к. она особо в подобном не разбиралась, попросил у неё пару фото и краткое описание состояние устройства.
Всё началось с регистрации.
Проверка зрения? Серъёзно?
Внутри появилось чувство что разработчики не совсем в теме.
Объявления делились на два типа, Обычные и VIP — которые могли висеть оплаченное время в самом верху, а за дополнительную плату их могли ещё и покрасить в красный цвет.
Денег я на это тратить не собирался, «Мотороллер не мой, я просто разместил объяву» но решил посмотреть как реализована схема оплаты.
Заполняется VIP объявление.
Выбираем категорию, срок, и «настройку размещения».
Дальше идёт проверка количества средств на счёте, и оплата.
Видите эту большую синюю кнопку? Пока не пополните счёт, нажать её невозможно, у input'a стоит атрибут disabled=«disabled».
Это и БЫЛА ПРОВЕРКА ДЛЯ ОПЛАТЫ!
Удалив через Firebug атрибут disabled, и нажав кнопку оплатить, со счёта ушли средства, просто в минус.
Объявление было размещено.
Немного подумав как это можно использовать для себя, добавил объявление с партнёрской программой по доставке товаров с Ebay.
Правда той же ночью замучила совесть, и администрации на почту и ICQ были отправлены сообщения о данном 'баге'.
Обратного ответа я от них не получил до сих пор, 'баг' прикрыли месяца через три, четыре.
Объявления провисели весь оплаченный срок — 6 месяцев, аккаунт до сих пор активен.
Общая отрицательная сумма с нескольких аккаунтов составила 79446 лей (6533$).
А на данный момент с партнёрки я получил 300$.
Вывод? Никогда не доверяйте данным что прислал пользователь.
Автор: DonecVlad
