Довелось мне как-то проверять на прочность сервис по доставке товаров. Глаза горели, а руки были готовы ухватиться за что-нибудь интересное. Как показывает практика — нет ничего совершенного. И стоит лишь нащупать ту самую нить, которая выведет тебя в нужном направлении.
Как и всегда нить была найдена. Процесс запущен. После начала тестирования я обнаружил замечательный js-файлик, который позволил получить информацию обо всех конечных точках приложения. Ниже можно видеть обработанный код, для лучшего восприятия.
Откровенно говоря, такая картина мало поправима — попытаемся усилить обфускацию кода, и тем самым выстрелим себе в ногу, по-просту замедлив приложение. Советую изначально выбирать другую архитектуру приложения. Однако здесь имеем, что имеем. Без каких-либо фазеров я составил карту приложения, сэкономив при этом уйму времени.
Далее пошел играться со страницей аутентификации. Попытка рандомно ввести данные — неудача. Но здесь обращаем внимание на то, что в ответе присутствуют поля, характерные для отладочного режима.
psql -U<USERNAME> -h<HOSTNAME> -d<DB_NAME>
Хочу отметить, что такая простая ошибка, в виде включенного отладочного режима, может привести к катастрофическим последствиям. И хорошо, что данную ошибку обнаружила именно наша команда, что позволило Заказчику сохранить деньги и самое главное нервы.
Спасибо, что дочитали до конца, надеюсь вам понравилось!!!!