Tai istorija apie tai, kaip radau būdą užsidirbti neribotus pinigus Starbucks dovanų kortelėms ir taip užsitikrinti nemokamą kavą visam gyvenimui arba kitais būdais pavogti iš jų porą milijonų.

Taigi, visai neseniai sugalvojau nusipirkti 3 Starbucks korteles po 5 USD.

Starbucks.com turi asmeninę paskyrą, kurioje galite pridėti šias korteles, peržiūrėti balansą ir net pervesti pinigus iš vienos kortelės į kitą.

Yra tokia mažai žinoma „rasinių sąlygų“ pažeidžiamumų klasė. Galiu drąsiai teigti, kad dauguma programų, kurios gali būti pažeidžiamos, greičiausiai yra pažeidžiamos šios atakos, nes ne kiekvienas programuotojas kurdamas programas atsižvelgia į tokius veiksnius kaip lygiagretus kodo vykdymas ir jo pasekmės.

Taip pat pasitaiko ir žiniatinklio programose, dažniausiai atliekant funkcijas, susijusias su pinigų/taškų/saldainių popieriukų/čekių pervedimu. Apie visas veikimo subtilybes papasakosiu kitą kartą, bet kol kas grįžkime prie perkėlimo tarp kortelių Starbucks.

Vertimas buvo sukurtas pagal keletą valstybinių užklausų. Schematiškai pirmoji užklausa POST /step1?amount=1&from=wallet1&to=wallet2 įtraukė visas šias reikšmes į seansą serveryje, o tik antroji POST/step2?confirm perdavė seanso metu jau saugomus duomenis ir juos išvalė.

Tai gerokai apsunkina gana klasikinių lenktynių, kur tereikia pakartoti tą patį prašymą kelis kartus vienu metu, veikimą. Galų gale, kai tik pirmoji užklausa išvalo sesiją, antroji jau susiduria su tuščia sesija! Ir tam, kad kažkaip tai veiktų, turėčiau sudaryti sudėtingą užklausų sudėtį, kuri rašoma į sesiją iš karto po to, kai ją išvalo pirmoji užklausa ir prieš įvykdant antrą užklausą. Tai gali veikti kartą iš milijono kartų arba gali neveikti iš viso.

Tačiau visada yra išeitis dėl tokių „pusiausaugių“ – galite prisijungti prie tos pačios paskyros iš dviejų skirtingų naršyklių / seansų. Tada operacija atrodo maždaug taip:

#nustatykite vertimo parametrus abiejuose seansuose
curl starbucks/step1 -H „Slapukas: sesija=1 seansas“ – duomenys „amount=1&from=wallet1&to=wallet2“
curl starbucks/step1 -H „Slapukas: sesija=2 seansas“ – duomenys „amount=1&from=wallet1&to=wallet2“
#vienu metu patvirtintas 1 USD pervedimas iš 1 kortelės į 2 kortelę.
curl starbucks/step2?confirm -H "Slapukas: session=session1" & curl starbucks/step2?confirm -H "Slapukas: session=session2" &

Po 5 bandymų nieko įdomaus neįvyko ir aš ruošiausi pasiduoti. Varžybų sąlygos ypatumas yra tas, kad galite pabandyti ją surasti tik trečiosios šalies užpuolikas, nes nežinoma, kokios apsaugos priemonės (užklausų skaičius pagal IP? užklausų vienai paskyrai? užklausos imtis veiksmų?) ir Vienintelis būdas patikrinti, ar esate pažeidžiamas, yra atidžiai patikrinti šaltinio kodą, ar duomenų bazėje nėra tinkamų pesimistinių užraktų.

6 prašymu įvyko stebuklas - pervedimas buvo atliktas du kartus ir aš turėjau dvi korteles su 15 ir 5 doleriais, iš viso 20. Norint tai laikyti koncepcijos įrodymu, belieka įsitikinti, kad parduotuvė priims šias korteles.

Nuėjau į artimiausią veikiantį Starbucks turgaus g.

Duok man ką nors už 16 USD.
- O_o.
- Na, o koks tau brangiausias daiktas?
- Tie sumuštiniai ten.

Išėjo 16,70 USD.

Taigi į mūsų nedidelę operaciją Y buvo investuota 15 USD, o pirkimai buvo atlikti už 16,70. Žinodamas humaniškiausio JAV teismo požiūrį į programišius, grįžęs namo iš karto į „Starbucks“ kortelę įskaitau dar 10 USD iš kreditinės kortelės, kad neliktų skolinga korporacijai net 1,70 USD, niekada negali žinoti.

Toliau seka pati sunkiausia dalis – ataskaitų teikimo procesas. Palaikymas nuoširdžiai atsakė, kad negali manęs susieti su technine komanda, na, visai ne, ir labai gailisi, kad taip jaučiuosi. paskelbtas [apsaugotas el. paštas] kovo 23 d., tyla (beje, jie atsiliepė jau balandžio 29 d.). Teko rasti žmonių, kuriems tai rūpėjo per mano draugus ir pažįstamus, ir tik po 10 dienų pažeidžiamumas buvo pašalintas.

Niekas nepasakė ačiū, bet buvo nedviprasmiška užuomina, kad aš padariau „sukčiavimą“ ir „piktybinius veiksmus“ ir jie vis tiek pagalvos, ką su manimi daryti.

Ką galėčiau padaryti? Galėčiau sukurti netikrų dovanų kortelių, perkamų įvairiose pasaulio parduotuvėse, fermą, sugeneruoti jose daug pinigų ir pardavinėti specialiose reklaminėse svetainėse su 50 procentų nuolaida (kad nesukeltų įtarimų) už bitkoinus. Taigi padirbėjęs metus ar dvejus iš šios draugiškos kompanijos su saldžia kava galėtum išsiurbti porą milijonų dolerių.

Kaip aš nulaužiau „Starbucks“ už neribotą kavos kiekį

• Informacijos saugumas ,
• Interneto svetainių kūrimas

Tai istorija apie tai, kaip radau būdą užsidirbti neribotus pinigus Starbucks dovanų kortelėms ir taip užsitikrinti nemokamą kavą visam gyvenimui arba kitais būdais pavogti iš jų porą milijonų.

Taigi, visai neseniai sugalvojau nusipirkti 3 Starbucks korteles po 5 USD.

Starbucks.com turi asmeninę paskyrą, kurioje galite pridėti šias korteles, peržiūrėti balansą ir net pervesti pinigus iš vienos kortelės į kitą.

Yra tokia mažai žinoma „rasinių sąlygų“ pažeidžiamumų klasė. Galiu drąsiai teigti, kad dauguma programų, kurios gali būti pažeidžiamos, greičiausiai yra pažeidžiamos šios atakos, nes ne kiekvienas programuotojas kurdamas programas atsižvelgia į tokius veiksnius kaip lygiagretus kodo vykdymas ir jo pasekmės.

Taip pat pasitaiko ir žiniatinklio programose, dažniausiai atliekant funkcijas, susijusias su pinigų/taškų/saldainių popieriukų/čekių pervedimu. Apie visas veikimo subtilybes papasakosiu kitą kartą, bet kol kas grįžkime prie perkėlimo tarp kortelių Starbucks.

Vertimas buvo sukurtas pagal keletą valstybinių užklausų. Schematiškai pirmoji užklausa POST /step1?amount=1&from=wallet1&to=wallet2 įtraukė visas šias reikšmes į seansą serveryje, o tik antroji POST/step2?confirm perdavė seanso metu jau saugomus duomenis ir juos išvalė.

Tai gerokai apsunkina gana klasikinių lenktynių, kur tereikia pakartoti tą patį prašymą kelis kartus vienu metu, veikimą. Galų gale, kai tik pirmoji užklausa išvalo sesiją, antroji jau susiduria su tuščia sesija! Ir tam, kad kažkaip tai veiktų, turėčiau sudaryti sudėtingą užklausų sudėtį, kuri rašoma į sesiją iš karto po to, kai ją išvalo pirmoji užklausa ir prieš įvykdant antrą užklausą. Tai gali veikti kartą iš milijono kartų arba gali neveikti iš viso.

Tačiau visada yra išeitis dėl tokių „pusiausaugių“ – galite prisijungti prie tos pačios paskyros iš dviejų skirtingų naršyklių / seansų. Tada operacija atrodo maždaug taip:

#nustatykite vertimo parametrus abiejuose seansuose
curl starbucks/step1 -H „Slapukas: sesija=1 seansas“ – duomenys „amount=1&from=wallet1&to=wallet2“
curl starbucks/step1 -H „Slapukas: sesija=2 seansas“ – duomenys „amount=1&from=wallet1&to=wallet2“
#vienu metu patvirtintas 1 USD pervedimas iš 1 kortelės į 2 kortelę.
curl starbucks/step2?confirm -H "Slapukas: session=session1" & curl starbucks/step2?confirm -H "Slapukas: session=session2" &

Po 5 bandymų nieko įdomaus neįvyko ir aš ruošiausi pasiduoti. Varžybų sąlygos ypatumas yra tas, kad galite pabandyti ją surasti tik trečiosios šalies užpuolikas, nes nežinoma, kokios apsaugos priemonės (užklausų skaičius pagal IP? užklausų vienai paskyrai? užklausos imtis veiksmų?) ir Vienintelis būdas patikrinti, ar esate pažeidžiamas, yra atidžiai patikrinti šaltinio kodą, ar duomenų bazėje nėra tinkamų pesimistinių užraktų.

6 prašymu įvyko stebuklas - pervedimas buvo atliktas du kartus ir aš turėjau dvi korteles su 15 ir 5 doleriais, iš viso 20. Norint tai laikyti koncepcijos įrodymu, belieka įsitikinti, kad parduotuvė priims šias korteles.

Nuėjau į artimiausią veikiantį Starbucks turgaus g.

Duok man ką nors už 16 USD.
- O_o.
- Na, o koks tau brangiausias daiktas?
- Tie sumuštiniai ten.

Išėjo 16,70 USD.

Taigi į mūsų nedidelę operaciją Y buvo investuota 15 USD, o pirkimai buvo atlikti už 16,70. Žinodamas humaniškiausio JAV teismo požiūrį į programišius, grįžęs namo iš karto į „Starbucks“ kortelę įskaitau dar 10 USD iš kreditinės kortelės, kad neliktų skolinga korporacijai net 1,70 USD, niekada negali žinoti.

Toliau seka pati sunkiausia dalis – ataskaitų teikimo procesas. Palaikymas nuoširdžiai atsakė, kad negali manęs susieti su technine komanda, na, visai ne, ir labai gailisi, kad taip jaučiuosi. Paskelbė InformationSecurityServ [apsaugotas el. paštas] kovo 23 d., tyla (beje, jie atsiliepė jau balandžio 29 d.). Teko rasti žmonių, kuriems tai rūpėjo per mano draugus ir pažįstamus, ir tik po 10 dienų pažeidžiamumas buvo pašalintas.

Niekas nepasakė ačiū, bet buvo nedviprasmiška užuomina, kad aš padariau „sukčiavimą“ ir „piktybinius veiksmus“ ir jie vis tiek pagalvos, ką su manimi daryti.

Ką galėčiau padaryti? Galėčiau sukurti netikrų dovanų kortelių, perkamų įvairiose pasaulio parduotuvėse, fermą, sugeneruoti jose daug pinigų ir pardavinėti specialiose reklaminėse svetainėse su 50 procentų nuolaida (kad nesukeltų įtarimų) už bitkoinus. Taigi padirbėjęs metus ar dvejus iš šios draugiškos kompanijos su saldžia kava galėtum išsiurbti porą milijonų dolerių.

„Starbucks“ kavinės yra populiari poilsio ir susitikimų vieta kokybiškos kavos ir atsipalaidavusios atmosferos mėgėjams. Įmonė kažkada pradėjo prekiauti firminėmis skrudintomis pupelėmis, o dabar atidaro įstaigas, kuriose kiekvienas lankytojas gali ne tik paragauti skanaus kavos gėrimo, bet ir papusryčiauti ar užkąsti, taip pat įsigyti profesionalios kavos virimo įrangos bei firminių serviravimo aksesuarų. . Įmonės atstovai Rusijoje rūpinasi savo klientais ir siūlo dalyvauti „My Starbucks Rewards“ programoje.

Kaip gauti kortelę

Bet kuris kavinių tinklo klientas, sulaukęs 14 metų, turi teisę gauti premijos kortelę nemokamai. Jį reikia papildyti grynaisiais ir sumokėti už visas „Starbucks“ kavinės teritorijoje esančias prekes. Už kiekvieną pirkinį klientas gauna 1 žvaigždutę. 12 surinktų žvaigždučių suteikia teisę gauti „atlygį“ nemokamos kavos, arbatos ar maisto pavidalu, išskyrus sveikus pyragus ir pyragus.

Taip atrodo apdovanojimų žemėlapis.

Plastikinės laikmenos gali būti išduodamos bet kuriame „Starbucks“ prekybos centre prie kasos arba galite sukurti virtualų atitikmenį internetu „Starbucks Russia“ mobiliojoje programoje. Kortelė aktyvuojama po registracijos svetainėje www.starbuckscard.ru ir pirmasis papildymas.

Naudojimo ypatybės

„Starbucks“ kortelė leidžia savininkui gauti malonių premijų, tačiau jūs turite žinoti kaip teisingai naudoti:

1. Užsiregistravę „My Starbucks Rewards“ programoje, turite suaktyvinti kortelę svetainėje www.starbuckscard.ru ir įnešti ne mažiau kaip 500 rublių. Aktyvinimas įvyksta per 24 valandas.
2. Norėdami įskaityti premijas, turite sumokėti už produktą tik Starbucks kortelė.
3. Premija galioja 30 dienų nuo priskyrimo datos, jei šio laikotarpio išvengiama, premija grąžinama į nulį.
4. Galite peržiūrėti savo likutį, debetų istoriją ir premijų kaupimą, taip pat papildyti savo sąskaitą per asmeninę paskyrą svetainėje www.starbuckscard.ru arba per mobiliąją programą. Naudojant pastarąjį taip pat galima atsiskaityti už užsakymą tiesiai iš telefono ekrano (registruojant virtualią kortelę).
5. Įmonės svetainėje galima nustatyti automatinį ir vienkartinį plastikinės ar virtualios medijos paskyros papildymą. Norėdami tai padaryti, savo asmeniniame profilyje turite prijungti mokėjimo banko kortelę ir atlikti vienkartinį mokėjimą arba nustatyti nuolatinį papildymą. Galimi scenarijai: pinigai bus įskaityti, kai bus pasiektas minimalus likutis, tam tikrą kiekvienos savaitės ar mėnesio dieną.

Programos lygiai

Registruodamasis bonusų taupymo sistemoje, pirkėjas gauna kortelę Žalias lygis. Kad jūsų surinktos žvaigždės nebūtų nustatytos iš naujo, per 12 mėnesių iš eilės turite įsigyti bent vieną pirkinį. Priešingu atveju galite prarasti visas sukauptas žvaigždes. Žalias lygis leidžia iškeisti 12 žvaigždučių į kavos gėrimą ar patiekalą.

Aukso lygis suteikiama, jei per metus surenkama 30 ar daugiau žvaigždučių. Privilegija:

• Premijos nemokamas bet kurio gėrimų ar maisto produktų užsakymas mainais į 12 sukauptų žvaigždučių;
• Gimtadienio sveikinimo akcija – galimybė gauti nemokamą kavą ar patiekalą šventės garbei;
• Auksinės kortelės dizainas;
• Išskirtinės akcijos, kurias galima pritaikyti pagal asmeninius pageidavimus renkantis prekes ar mokėjimo būdus. Taip pat galite gauti nuolaidą maistui ar gėrimams.

Asmeninės paskyros sukūrimas leidžia atlikti naudingas manipuliacijas su kortele. Tai apima: aktyvavimą, balanso ir premijų tikrinimą, vienkartinį arba periodinį automatinį papildymą, operacijų istorijos peržiūrą.

Norėdami užregistruoti paskyrą, eikite į svetainę www.starbuckscard.ru ir pasirinkite skirtuką „Registracija“.

Tada įveskite savo telefono numerį ir spustelėkite mygtuką „Gauti kodą“.

Atsidariusiame lange įveskite gautą kodą.

Toliau atsiras laukai, kuriuose bus galima nurodyti kavinėje gautos kortelės numerį ir PIN kodą (jis yra plastikinio laikiklio gale po įbrėžimų skydeliu šalia 12 skaitmenų numerio) ir asmeniniams duomenims. Taip pat galite patvirtinti naujienų ir akcijų gavimą el.

Mobilioji programa „Starbucks Russia“

Klientų patogumui Starbucks sukūrė ir pristatė programą, skirtą Android Ir iOS. Programėlės funkcionalumas leidžia aktyvuoti esamą kortelę ir nuskaityti brūkšninį kodą arba sukurti visiškai elektroninę versiją, sužinoti apie naujas akcijas ir pasiūlymus bei rasti artimiausias kavines. „Starbucks Russia“ galite peržiūrėti savo asmeninės paskyros duomenis.

Galite papildyti kortelę ir sumokėti už užsakymą internetu.

Programa taip pat praneš apie galimus apdovanojimus.

Turėti „Starbucks“ kortelę – tikras apdovanojimas kavos žinovui. Išskirtinis ženklas, kuris taip pat pagerina gyvenimą. „Starbucks“ kompanija sukūrė savo vidinę valiutą „Stars“, kurią gaudami ir kaupdami Programos dalyviai gali jas iškeisti į premijas „Starbucks“ kavinėse.

Norėdami tapti premijų programos dalimi, tiesiog eikite į oficialią svetainę starbuckscard.ru ir užregistruokite kortelę. Ten taip pat rasite sąrašą įstaigų, kurios dalyvauja akcijoje.

Fizinę kortelę galite gauti bet kurioje tinklo kavinėje, savarankiškai pasirinkę jums patinkantį dizainą ir nedelsdami papildydami balansą nuo 500 iki 10 000 rublių, kad galėtumėte toliau pirkti. „Starbucks Gifts“ kortelę taip pat galite nusipirkti internetu svetainėje http://starbuckscoffee.ru/ru/.

Kaip užregistruoti Starbucks kortelę?

Užregistravus Starbucks kortelę, ji tampa tiesiog patogia mokėjimo priemone dovanų ir premijų generatoriumi.

Norėdami juos pasiekti, galite naudoti vieną iš šių būdų:

1 žingsnis. Eikite į svetainę http://starbuckscoffee.ru/ru/

2 žingsnis. Sukurkite asmeninę paskyrą vadovaudamiesi išsamiomis instrukcijomis

3 veiksmas. Užregistruokite „Starbucks“ kortelę arba „StarbucksGifts“ svetainėje.

1. Atsisiųskite „Starbucks“ programą mobiliesiems.
2. Sukurti paskyrą.
3. Programėlėje užregistruokite „Starbucks“ kortelę arba „StarbucksGifts“ kortelę.

Starbucks kortelių lygiai

Dovanų ir premijų iš Starbucks skaičius visiškai priklauso nuo Programos dalyvio aktyvumo ir meilės kavos gėrimams. Po kiekvieno pirkimo kortelei priskiriama viena Žvaigždė.

Kuo daugiau žvaigždžių, tuo aukštesnė kortelės būsena.

Žalias lygis

Žalias kortelės lygis nariui priskiriamas iš karto po kortelės įsigijimo ir norint ją išlaikyti, per metus nuo kortelės užregistravimo starbuckscoffeeru būtina atlikti bent vieną pirkinį. Jei per tą laiką kortelės likutis nebuvo papildytas žvaigždutėmis, Žaliojo lygio privilegijos yra įšaldomos.

Aukso lygis

Gavęs 30 žvaigždučių per metus galite pereiti į auksinį lygį iš žalio lygio.

Starbucks kortelės savybės

Kortelės likutis yra patikimai apsaugotas nuo vagystės ir gali būti atkurtas praradus. Tokia kortelė gali būti puiki dovana su atpažįstamu „Popierinės širdelės“ ar „Vasaros“ dizainu.

Be to, „Starbucks“ kortelės registravimas reiškia prieigą prie visų operacijų, balanso tikrinimą tiesiai iš mobiliojo įrenginio, premijų veiklos ir privilegijų stebėjimą.

Žaliojo lygio privilegijos

Auksinio lygio privilegijos

1. Galimybė gauti bet kokį gėrimą ar vieną patiekalą už kiekvieną naują 12 žvaigždučių, išskyrus sveikus pyragus.
2. Bet koks gėrimas ar patiekalas, išskyrus sveikus pyragus, kaip dovana gimtadienio proga.
3. Atnaujintas aukso spalvos dizainas.
4. Dalyvavimas specialiuose pasiūlymuose, kurie platinami SMS žinute arba el.

Kaip naudotis „Starbucks“ mobiliąja programėle?

„Starbucks“ mobilioji programėlė suderinama su visais įrenginiais. Jos dėka galite peržiūrėti artimiausias kavines, atlikti operacijas su savo balansu ir automatiniu papildymu, atlikti operacijas tarp kortelių ir sekti specialias akcijas bei pasiūlymus.

„Starbucks“ premijų programa dar labiau priartina savo klientus prie kavos, leisdama jiems pelningai keliauti per kavos pupelių asortimentą, o tai ne tik naudinga kūnui ir sielai, bet ir pagrįstai papildydama bei sutaupydama biudžetą.