К сожалению, хостинг DigitalOcean устранил уязвимость с многократным применением промо-кодов. Своеобразный «аттракцион невиданной щедрости» завершён. Теперь коды используются только один раз.

Раньше один и тот же промо-код можно было применить десятки раз в течение нескольких секунд. Это делалось с помощью перехвата POST-запроса к адресу https://cloud.digitalocean.com/promos, который отправляется при активации промо-кода. Затем этот POST-запрос повторялся многократно и как можно в более короткий промежуток времени.

С помощью такого нехитрого метода можно было многократно зачислить один и тот же бонус на свой аккаунт. Эта ошибка называется «состояние гонки» (race condition).

Хакер, который сообщил об уязвимости в DigitalOcean, 23 раза использовал один и тот же промо-код на десять долларов. Он жалеет только, что в то время у него было промо-кода на $100, который распространяется в рамках образовательного пакета Github.

003

Автор не получил вознаграждения от DigitalOcean, но они любезно оставили ему все тестовые аккаунты, где он нагенерировал себе денег во время проверки уязвимости.

К счастью, такая уязвимость с многократным применением промо-кодов ещё сохраняется на многих других сайтах, в том числе в интернет-магазинах.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    3 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии