Hindistan’ın en büyük çevrimiçi seyahat acentelerinden ikisi olan RedBus ve MakeMyTrip Limited, kullanıcıların ücretsiz koltuk ayırmasına olanak tanır.
Bay Vishnu Thulasidoss, birkaç ay önce Chennai’de staj yaparken birkaç nedenden dolayı memleketine gitmeyi planlamıştı. Sonuç olarak Redbus’ta bir otobüs bileti arıyordu.
Tek bir koltuğun kabaca 1300 rupiye ve çift koltuğun yaklaşık 1200 rupiye mal olduğunu iddia etti.
Fazladan 100 Rs’yi kurtarmak için ikili koltuğa oturmaya karar verdi.
Aynı Anda İki Koltukta Sürme
Koltuk, esas olarak, bir kullanıcının bir koltuk seçtiği ve birkaç kullanıcının aynı koltuk için rezervasyon yapmasını önlemek için ödeme sayfasına gittiği, kilitlenme süresi olarak bilinen belirli bir süre için kilitli olacaktır.
Bu nedenle, istemci arka planda sunucuya bir API talep etmelidir.
“Bu API isteği, koltuğun kilitlenmesinden sorumlu olmalıdır. Bu koltuk talebini yakalayabilir ve düzenli aralıklarla tekrar oynatabilirsem, o zaman koltuğu sonsuza kadar kilitleyebilirim”, diye açıkladı Vishnu Thulasidoss.
Burp paketini açtı, ardından trafiği yakalamak için Burp’u kullanırken redbus’a gitti[.]içeri girdi ve bir koltuk ayırmaya çalıştı.
Burp Suite, sınıfında lider güvenlik açığı taraması, sızma testi ve web uygulaması güvenlik platformudur.
Sorguları kısa bir süre yakaladıktan sonra, uç noktaya bir gönderi isteği kullanılarak koltuğun kilitlendiğini keşfetti. [“https://redbus.in/…/…”].
Buluta yüklendiğinde her 10 dakikada bir (kilitlenme süresi) bu isteği yeniden gönderen bir Python betiği oluşturdu.
“Bu, sadece tek bir koltuk için ödeme yaparak herhangi bir rahatsızlık duymadan iki koltukta özgürce seyahat etmemi sağlıyor. Ama pratik olarak kullanamıyorum” dedi.
“Koltuğu sonsuza kadar kilitlesem bile, o açgözlü otobüs kondüktörleri yollardan otobüs bekleyen birini alır. Yani teknik olarak diğer koltuk her zaman dolu olacak.”
MakeMyTrip ve ClearTrip’te de aynı kusuru inceledi. Bir kez daha işe yaradı.
Bir Ödül Verildi
Bu nedenle, hatayı bildirdi ve işlemlere biraz renk katmak için PoC’yi kaydederken bir otobüsteki her koltuğu programatik olarak kilitledi. Daha sonra güvenlik ekibine sorun hakkında e-posta yoluyla bilgi verdi.
Kısa süre sonra Redbus’tan 10.000 rupilik bir Amazon hediye kartı aldı.MakeMyTrip ona 13.500 Rupilik bir ödül ödedi ve onu kendi hesaplarına ekledi. Onur listesi hatayı bildirdikten sonra.
ClearTrip’teki raporu, bunun bir hatadan çok bir özellik olması gerektiğini söyleyerek reddettiler.
Güvenlik Düzeltme Eki’ni Sisteminize Uygulamakta Zorlanıyor Musunuz? –
All-in-One Patch Manager Plus’ı Deneyin