Перехватчик заказов такси любимое
Dating > Перехватчик заказов такси любимое
Download links: → Перехватчик заказов такси любимое → Перехватчик заказов такси любимое
Да сами портовики сливают заказы когда у них вал, но тоже копеечные. А если серьезно, то. Представьте, залогинившись в гугл Вы бы могли посмотреть всю почту ВСЕХ пользователей Гугл.
Все попытки изменить что либо в коде таксоида учитываются в новой версии и блокируются, или делают работу таксоида кривой. А за качество извоза надо спрашивать с конкретного водителя-он перевозчик!!! А сколько на тебя негатива выплёскивается.... Укажи модель телефона и опиши проблемму. If this is the case, we recommend disabling these add-ons. Там и программы есть для автоматического захвата заказов и все, что только может понадобится таксисту для работы. »- подумал я и стал спрашивать моего друга, знает ли он, что такое UUID, и применял ли где-нибудь его. Программа перехватчик заказов для такси сити мобиль и ангел.
Это похоже на: ПодхОдите к Метро, там стоит на фильтре десять машин и на каждой висит ценник точной суммы поездки до вашего дома. Это просто клондайк какой-то для человека, настроенного на нечестные способы ведения бизнеса! PS а по большому счету это ВОРОВСТВО!!!! Ты же IT-шник, в конце концов!
!Взлом яндекс такси, инструкция, слить базу - Как итог подведу - моя диспетчерская сейчас обслуживает более 90% заказов города и 3 конкурента отказались от своих диспетчерских и работают от меня. Еще одно преимущество нашего такси Если вам нужно заказать такси для прибытия по адресу к определенному времени например, на прием к врачу, к железнодорожному поезду, междугородному автобусу, электричке, концерту, спектаклю в одном из театров города или к любому иному мероприятию , позаботьтесь о том, чтобы связаться с нами заблаговременно и оставить заявку на машину.
Источник - У меня я сейчас времени нет совсем, да и разбираться во многом надо, т. Просто так, что-б было. Статья ------------------------------------------------------ Все вокруг постоянно рассуждают о коррупции. А я хочу рассказать Вам о случае, на коррупцию очень похожем, но в среде чистого IT-бизнеса, на государство никак не завязанного. Описываемый далее случай интересен именно с точки зрения взлома бизнеса, хотя статья больше посвящена взлому в смысле IT. Начну с нетехнической части. Мой друг-одноклассник работает в сфере бизнеса московского такси. Работает в этом бизнесе довольно много лет. Несколько лет назад, когда на рынок московского такси вошел крупный игрок а теперь — монополист — Яндекс, то мой друг, разумеется как и все прочие мелкие и крупные игроки этого бизнеса также присоединился к заказам Яндекс-Такси. Уже несколько лет он работает в с использованием ПО. Где-то с полгода назад Яндекс и теперь это ПО называется Яндекс. Таксометр или вроде того. Так вот, обещал я, что начну с нетехнической части. Этот мой друг уже несколько лет жалуется мне при личных встречах на извечную русскую проблему: «воруют». Рассказывает что воруют водителей, заказы и даже, по слухам, деньги с QIWI-кошельков… Я относился к этому как-то философски. Ну, жалуется человек на жизнь. Ушел водитель увели от него в другую компанию, а он считает что его украли — обычная история. Но на этих выходных таки он меня упросил: «Иван, ну да, ты как ты говоришь не специалист по безопасности, но посмотри, как могут у меня воровать водителей? Ты же IT-шник, в конце концов! Мы сели с ним в кафешке с WiFi и стали смотреть. Закончу нетехническую вводную я тем, что скажу что, по слухам, среди компаний, работающих с Яндекс-Такси, которые идут в том числе и от самого Росинфотех, Яндекс приобрел вышеуказанное ПО за миллиард. Запомните эту цифру, она понадобится нам в конце статьи. Итак, вступление окончилось, перейдем к технической части. Отчеты, заказы и т. Полазив чуток по страничкам, обратил внимание, что практически весь сайт построен на том, что в ссылках или запросах фигурируют. Кликнув на водителя, можно увидеть, что UUID водителя фигурирует в ссылке информации о нем. »- подумал я и стал спрашивать моего друга, знает ли он, что такое UUID, и применял ли где-нибудь его. Он говорит: «Да, в личном кабинете Яндекса я указывал урл на API». «Давай сюда, — говорю, — этот урл». Дает он мне нечто вроде такого sync. Заглядываем в этот урл и видим — все водители компании моего друга в удобном для парсинга виде — XML. Осталось узнать UUID других компаний. Как я уже сказал выше, в некоторых местах сайта банальный Ctrl-U в браузере показывает UUID других компаний, однако мне стало интересно получить UUID адреса ВСЕХ компаний, использующих это ПО. Мы где-то с полчасика покопались по урлам, используя Ctrl-U, и нашли сразу множество путей, как это сделать. Например, вот такой красивый JSON сообщает нам подобный список: Обратите внимание, что список затрагивает сразу все регионы страны, не только Москву. Ну или подобные списки встречаются в различных селектах, списках итп. Стало интересно вернуться к карточкам водителей и рассмотреть их поближе. Для этого мы выбрали одну из Московских компаний — взяли XML со всеми ее водителями которая, как описано выше, доступна без авторизации и продолжили эксперименты над ней. Взяли пару водителей из этого XML, ввели их UUID в карточке в личном кабинете. Рейтинги, когда сдавал экзамены такси, номера прав итп — все видно. Информация о любом водителе в том числе чужих доступна по урлу с UUID. Это как бы расширенная информация больше, чем вышеприведенном XML. Вероятно, разработчики этого ПО о понятиях «авторизация», «аутентификация» не слышали, а уж и тем паче о разнице между ними. Там же, сидя в кафе я набросал скриптик на Python, и через 20 минут у нас была база данных всех водителей Яндекс. Такси во всех городах не только в Москве с их телефонами, рейтингами, номерами прав, лицензий, балансами счета и прочей приватной информацией. Получили вот примерно такой XLS файлик: Так я получил вещественное доказательство более чем двухлетним подозрениям моего друга о воровстве водителей. Дальше стало интересно посмотреть несколько шире на эту проблему: доступность этих UUID без авторизации вообще. Оказалось, и это есть! Это ПО предлагает довольно широкий спектр сопутствующих услуг. Например, вебформу заказа такси на сайте компании-клиента. Заглянув Ctrl-U на несколько сайтов-партнеров Яндекс-такси, как Вы думаете, что я там обнаружил? UUID этих компаний, по которым напомню можно бесплатно доставать всех водителей. Таким образом, не исключаю, что какой-либо поисковик в т. Яндекса однажды проиндексирует все эти приватные данные компаний и людей. Затем мы заглянули на еще один ресурс без авторизации этой компании. В публичном доступе находится в реальном времени лог всех заказов в Яндекс-такси. Можно посмотреть, кому назначен, что с ним происходит, кто выполняет, адрес подачи итп. Нажимая Ctrl-U на этой странице, мы видим ID заказа, компанию которой он назначен. Вот мы и докопались до ID заказов других компаний на неавторизованной странице на авторизованных они тоже есть, но повторюсь: было интересно найти на неавторизованной. Далее, используя инструменты, доступные в разных частях личного кабинета, мы можем не просто наблюдать, но и воздействовать на процесс: например, можно чужой компании изобразить отмену заказа, а самому послать машину вместо нее! Для водителя это будет выглядеть, как отмена заказа. Для клиента — как «приехала другая машина». Это просто клондайк какой-то для человека, настроенного на нечестные способы ведения бизнеса! Продукт представляет собой просто этакий просмотрщик записей в БД без какой-либо защиты между пользователями. Представьте, залогинившись в гугл Вы бы могли посмотреть всю почту ВСЕХ пользователей Гугл. Вот тут примерно такой случай. Комплекс содержит еще приложение для андроида. Взяв приложение «Таксометр» с мы быстро выяснили, что оно делает запросы по неавторизованным урлам. И первый неавторизованный http-запрос, который делает это приложение, — угадайте, какой? Правильно, полный список пар UUID-название компаний! Здесь я получил еще одно подтверждение, что не только водителей можно воровать, но и заказы у этих водителей. Рассказывают, что ушлые люди уже даже выпустили на эту тему специальное приложение по перехвату заказов Яндекс. Жаль на андроид маркет только не выложили или выложили? Надо бы посмотреть в платных разделах маркета. Ну а теперь давайте немного поразмышляем на тему, о которой я писал вначале. Коррупция или не коррупция. Да, Яндекс — частная фирма. Слово «коррупция» к нему не применимо. Однако возникает интересный вопрос: вот Яндекс покупает за огромные деньги миллиард программный комплекс. При этом, судя по вышеприведенной картинке, НИКАКОГО технического аудита этого программного комплекса не произведено. То, что нашел я рядовой IT-шник за пару часов копаний в кафе, специалист по безопасности нашел бы без особого труда, но вопрос: почему этот специалист коих у Яндекса вдоволь даже не заглянул в этот комплекс за миллиард? Как Вы думаете, этот комплекс куплен с использованием системы «откатов», или нет? Мне кажется, что, проводя сделку за миллиард, не выделить 10 тыс руб на один рабочий день специалиста для проведения аудита это… гхм… или сознательная халатность, или совсем уж хочется побыстрее от миллиарда избавиться Объяснение, что это куплено с использованием отката, — по моему, наиболее логичное. Интересный вопрос: кто в Яндексе принимал решение о покупке такой «большой дыры»? Вероятно, с него должны начать выяснение обстоятельств покупки СБ Яндекса. PS: После того, как мы поразглядывали Таксометр с андроид-маркета, мы заглянули еще и в устройство приложения для заказа такси с того же маркета —. Что удручает — ситуация там очень похожая. Его явно делали люди, далекие не только от вопросов безопасности, но и от вопросов HighLoad программирования. Впрочем, это совсем другая история, о ней можно написать отдельную статью. Такси внедрило оплату поездок кредитными карточками. Мне вот лично как-то страшно теперь платить за поездку кредиткой. UPD: Яндекс уведомлен о проблеме, так что здесь предлагаю обсудить способ взлома бизнеса Яндекс. Такси примененный товарищами из вышеупомянутой компании. Можно только выражать восхищение бизнес-способностям этих людей. Сначала я наивно сообщал только руководителю проекта, но заметил, что это очень неэффективно и вопрос, как правило, не решался. Тогда оказалось, что если в список сообщаемых лиц добавлять сразу несколько человек — ответственному лицу, его начальнику, еще нескольким людям — начинается переписка, обсуждение, и вопрос уже не так просто задвинуть в долгий ящик. Но и это оказалось не так эффективно — машина сопротивляется и не хочет сворачивать с намеченного пути. Вместо того, чтобы решать проблему на уровне выше, чем возникла сама проблема, фиксятся частные случаи. Например, вот три тикета с одним и тем же источником проблемы. Вместо решения источника проблемы, фиксятся записи БД только для этих трех конкретных случаев. Для того, чтобы проблема решилась по-настоящему, я обнаружил, что надо самостоятельно провести исследование, посмотреть, например, сколько случаев из всех возможных эта проблема затрагивает, нарисовать графики, диаграммы Вороного и т. После этого весь этот материал сообщить нескольким людям и смотреть, как проблема решается. Вероятно, что настоящий автор статьи работает в Яндексе, но не смог достучаться до нужных людей, устал от отмазок и частных фиксов, потому и придумал этот весьма эффективный способ!
Last updated