К сожалению, хостинг DigitalOcean устранил уязвимость с многократным применением промо-кодов. Своеобразный «аттракцион невиданной щедрости» завершён. Теперь коды используются только один раз.

Раньше один и тот же промо-код можно было применить десятки раз в течение нескольких секунд. Это делалось с помощью перехвата POST-запроса к адресу https://cloud.digitalocean.com/promos, который отправляется при активации промо-кода. Затем этот POST-запрос повторялся многократно и как можно в более короткий промежуток времени.

С помощью такого нехитрого метода можно было многократно зачислить один и тот же бонус на свой аккаунт. Эта ошибка называется «состояние гонки» (race condition).

Хакер, который сообщил об уязвимости в DigitalOcean, 23 раза использовал один и тот же промо-код на десять долларов. Он жалеет только, что в то время у него было промо-кода на $100, который распространяется в рамках образовательного пакета Github.

003

Автор не получил вознаграждения от DigitalOcean, но они любезно оставили ему все тестовые аккаунты, где он нагенерировал себе денег во время проверки уязвимости.

К счастью, такая уязвимость с многократным применением промо-кодов ещё сохраняется на многих других сайтах, в том числе в интернет-магазинах.



3 комментария

  1. 28.04.2015 at 15:40

    дайте список интернет магазинов желательно зарубежных…

  2. Дмитрий Небог

    31.10.2015 at 20:12

Оставить мнение