5 лет срока на зоне и 17 млн долга на шее: паренек решил кинуть Сбербанк, пользуясь багом приложения

Нет, не может этот код ничего сделать.
Во-первых операции движения средств между абонентами требуют подтверждения по СМС при работе через web.
Во-вторых, посмотрите что такое CDN и как он работает.
В-третьих, принципы межсайтовой работы скриптов не дадут ничего сделать.

Вы тот студент, которого сбер не взял на работу?

Это сообщение отредактировал 28e - 16.10.2018 - 15:02

Начну издалека. Вы кредит когда нибудь брали? Вам удавалось его взять без страховки? Вам может быть возвращал кто то страховку после погашения кредита?

Ага, а вы в свою очередь узнайте что такое атака мэн ин тэ миддл, и что будет если этот скрипт заменить на ЦиДиЭне, который в отличие от сбера с их серверами - контроллируется хуй знает кем (и да, интегрити атрибутов у скрипт тэгов / если понимаете о чем я / в тот момент там не было)

Насчет того что может или не может сделать этот скрипт, как минимум отслеживать то что вы делаете, и тупо подменить номер счета - в поле ввода формы, куда вы совершаете перевод

В случае если вы знаете куда и кому шлете деньги - можно это заметить перед отправкой СМС, в ином же случае (к примеру оплата квартплаты) нет.

Вы работаете в сбере?

Это сообщение отредактировал БубиЧервь - 16.10.2018 - 15:11

Брал. И про страховку предупреждали, что она не возвращается. Не нравится такие условия? Ищи другой банк. В чём проблема-то? Это бизнес.
Ещё раз, повторяю. Он вор. Он нарушил закон. И понёс наказание. А некоторые его тут защищают. А потом эти "некоторые" вопят в других темах о том, что в России закон не соблюдается.

Тогда еще вопрос, как по вашему, разработчик такого дырявого приложения должен нести ответственность?

Я знаю что это такое, и повторяю еще раз: при работе в вебе выполнить операции перевода средств через JS без СМС невозможно. Именно потому они с легкой руки и подключили себе аналитику.

Можно увести у вас личную инфу, но не выполнять операции. MITM здесь не провести, совершенно.

Работаю не в сбере. Программист.

тут нужно грамотно прикинуться "дураком", типа "А я думал что так и должно быть", при этом не провалить психиатрическую экспертизу и все нет состава.

Закон в нашей стране хуета, это "дышло" как оно поверни так оно и вышло, бесят меня судьи, ебанутая прокуратура и гнилая система МВД.

Инжектишь скрипт на страницу, в момент перехода МЕЖДУ страницей заполнения реквизитов и страницей подтверждения платежа, после нажатия кнопки подтверждения меняешь номер счета или что там скриптом на свой. Форма отправляется на следующий шаг УЖЕ с похаканными реквизитами. Дальше человек который не читает второй страницы - вводит код пришедший в смс. Спизжено.

Сиди думай. Программист.

Это сообщение отредактировал БубиЧервь - 16.10.2018 - 15:19

Сбербанк это такая большая помойка, которой приходится пользоваться только потому что у большинства населения Сбербанк. По сути, пол страны этим говном пользуется и ничего, довольны. Один из последних косяков которые я испытал на себе в приложении это внезапно образовавшийся отрицательный баланс в размере -9999 руб. и естественно невозможность что-либо кому-либо отправить. Правильный баланс вернулся лишь на следующий день. Помойка....

Сбербанк такой же инструмент обдирания нас,граждан России, как налоговая,например.Судиться со сбером бесполезно. И хранить там деньги очень вредно.

Как-то "по-ошибке" и "22 раза" плохо соотносятся.

сбербанк давно пора переименовать в объебанк

вот именно по этому я в их приложении (да и в приложениях других банков) нихера не делаю кроме как посмотреть балланс, перевести бабло кому надо и оплатить телефон. Ведь может случиться, что если я ткну куда-нибудь - это может расцениться банком как "ограбление". За этими пидорасами не заржавеет.

У меня все тяжелее, я еще их сраные кэшбэки и бонусы не использую и отказываюсь, во избежании.

Это сообщение отредактировал БубиЧервь - 16.10.2018 - 15:27

Еще раз говорю - почитай как устроен CDN, это не использование скрипта с чужого сайтика.
После того как ты отправишь запрос на странице на перевод, тебе аяксом загрузятся данные. Так вот, при работе с аяксом совсем другие ограничения на работу скрипта с другого домена.
Почитай уже теорию, блин... Для более точного понимания глянь защиту от XSRF, схожие принципы применяют и для обмена инфой что не должна меняться. По крайней мере узнаешь новое для себя словосочетание, кроме общего MITM.

Это сообщение отредактировал 28e - 16.10.2018 - 15:31

Какие блять ограничения, ты вообще читаешь о чем я? Я тебе не говорю отправлять что то. Смотри еще раз разжую по пунктам:
1. Форма ввода номера телефона или счета того кому ты хочешь послать бабки (поле куда можно написать циферки)
2. ВНизу кнопочка отправить

Не нужно никаких аяксов, нужно повесить обработчик на нажатие кнопочки отправить, и заменить то что написано в поле ввода номера телефона в шаге номер один - на что угодно. Дальше все будет сделано за тебя, отправлено куда надо.

Ты реально походу в сбере работаешь.

Все правильно, только бизнес. Но Сбербанк это инструмент государства. И деньги человек украл у акционеров Сбербанка, а не у вкладчиков. Прибыль Сбербанка знаете? А уж сколько раз наше государство воровало у своих граждан надо напоминать? 1990 год, 1991,1993,1998. Про облигации займов СССР слышали что-нибудь? Поэтому, население у государства не крадет,лишь возмещает ранее украденное и готовится к новому воровству государства.

Конечно должен. Но допустить ошибку в приложении и воспользоваться этой ошибкой, разные вещи.
Ошибки допускают все. А вот 22 раза перевести себе некую сумму, воспользовавшись допущенной ошибкой разработчика, это уже преступление.

Зачем передёргивать? Вот, блять, зачем?
Robin241

Он украл и у акционеров и у вкладчиков.

Это сообщение отредактировал Рогирсон - 16.10.2018 - 15:34

Я и не спорю что разные, но ответственность в данном конкретном случае - соизмеримая. Поскольку как раз как вы и выражаетесь это произошло не один раз а 22. Тут ебать нужно и тех кто это в прилаге сделал, и тех кто проебал то что у них бабло 22 раза улетело.

Какой прохоров ? И зачем ты это сюда вообще принес ?
Я конкретно спрашивал аргументы людей, заминусовавших чела.
Просто по их логике получается, что наёбывать и воровать это хорошо и правильно.
Но почему-то, ни одного аргумента в теме я досих пор не видел.

Бля... После отправки тебе прилетает форма подтверждения с инфой для проверки (тут ты, внезапно, должен заменить текст) и полем ввода СМС. Так вот, ты просто не сможешь заменить там данные, в скрипте с другого домена. Понимаю что это сложно понять, но такие детские забавы встречаются только на сайтах рукожопов. На нормальных сайтах давно защита стоит.

Будь ты поумнее, уже давно попробовал бы и обломился в своих попытках (речь даже не про сбер, а сделать эксперимент на своих сайтах).

Так. Начнем с основ т.к. случай тяжёлый. Скажи мне скрипт с другого домена имеет доступ к дому документа в который он загружен?

ну прям хз. разработчик сделал приложение и сказал что оно надёжно. он дал мне его чтобы я им пользовался. в процессе пользования приложение начало мне бабло выдавать. Но ведь мне сказали что оно надёжно на столько, что я могу при его помощи управлять СВОИМИ ДЕНЬГАМИ.

ПОЧЕМУ я должен делать какие-то умозаключения на счёт того, что приложение выдаёт мне бабло? Почему я должен считать что я граблю банк, а не например - это такой скрытый бонус от сбера, который так поощеряет своих клиентов? почему я должен думать - рентабильно ли это поощерение для сбера? Почему я должен (получая деньги от сбера за просто так) априори считать себя грабителем и испытывать чувства вины?
Почему я не могу считать эти деньги - подарком от сбера как например человеку, которому почему-то лично симпатизирует греф? Сбер дал мне деньги. Я взял и даже не обязан говорить "спасибо", не то что - возвращать. Это ваши (банка тоесть) проблемы что ваш хвалёный инструмент сбоит, я просто беру деньги которые вы (посредством своего приложения) мне просто подарили безвозмездно. Я не собираюсь считать себя вором если вы мне эти деньги выдаёте САМИ, а глюкнуло там что-то или нет - не моё дело. ПОдарили - всё, досвидания. Акт безвозмездной передачи денег я считаю законченным, пока я их могу взять а вы (я имею ввиду банк) при этом не то что даже не возмущаетесь - а способствуете этому (посредством своего щедрого приложения).

ВСЁ!

ps ну это моё мнение, интересно - как дела в европах и штатах, когда такая ситуация возникает?

Это сообщение отредактировал мыслитель - 16.10.2018 - 15:56