Әзірлеуші деректерді тексеруді тексергеннен кейін, «Тексеру» - наурыздан бастап Интернет қызметтерінде барлық сатып алуды бақылауға болады.
Федералды салық қызметінің (FTS) кейбір қызметтерінің бастапқы коды жалпыға қол жетімді және пайдаланушылардың сатып алулар туралы мәліметтері - су ағып кету қаупі бойынша. Бұл тұжырымдар «Хабра» қолданушысы Антон Писунов келді.
Әзірлеуші «Тексеру» бағдарламасына назар аударды. Бұл ақшалай чектерді электронды түрде алуға және сақтауға, сатушының адалдығын тексеруге, оған шағымдар жіберуге, оған шағымдарды жіберуге мүмкіндік береді.
Бағдарламаны пайдалану арқылы пайдаланушы кез-келген қызметке немесе дүкенде тапсырыс толтырғаннан кейін FICKICAL деректер бойынша мәлімдемені (OFD) жіберетін QR кодын сканерлей алады. Мысалы, Яндекске тапсырыс бергеннен кейін, Пискунов Яндекс Оисдан чек келді.
Сканерлеуден кейін Толық мәліметтері бар тексерудің электронды көшірмесі Қосымшада келтірілген. 2021 жылы 4 наурызда әзірлеушілер «чектерді тексеру» функциясын қосу арқылы «чек чектерін» жаңарып отырды.
Егер сіз «Яндекс.Ены», «Такси», «Такси», «Скутер» және басқалары, «Менің чектерім» бөліміндегі телефон нөмірін көрсететін чекті тексеру «тексеру» бағдарламасын көрсетсеңіз, онда «Менің чектерім» бөлімінде барлық чектер автоматты түрде көрсетіледі осы қызметтердегі барлық операциялар үшін.
Писунов бұл мәліметтердің барлығын қалай жақсы қорғалғанын тексеруге шешім қабылдады. Мұны істеу үшін ол Интернет арасындағы алшақтықты және қарапайым прокси-серверді қосып, «Түймелерге түсірілген» қосымшаның желілік әрекетін жазып, қосымшаның қызметін жазды.
«Деректері бар соңғы нүкте ict-mobile.nalog.nalog.nalog.nalog.nalog.nalog.ruh.ru :8888 мекен-жайы бойынша орналасқаны белгілі болды, ол Express Framework көмегімен Nodejs-тің қарапайым қолданбасында орналасқан. Пайдаланушының аутентификация механизмі сізге «SessionID» тақырыбын дұрыс көрсеңіз, «SessionID» тақырыбын дұрыс көрсеңіз, оның мәні сервер қатарында пайда болған белгілі бір өздігінен дефицатикалық таңбалауыш », - деп жазады Писуновты қосады.
Егер сіз «Тексеру» чекіндегі «Шығу» түймесін бассаңыз, таңбалауыштардың мүгедектіктері туындамайды, ол жалғасады. Сондай-ақ, пайдаланушы барлық сеанстарды көре алмайды немесе оларды барлық құрылғыларда аяқтай алмайды. «Осылайша, егер сіз Access Token-дің бұзылғанын түсінсеңіз де, оны қалпына келтіруге болмайды, содан кейін оны қалпына келтіруге мүмкіндік жоқ, сондықтан осы сәттен бастап шабуылдаушы сіздің деректеріңізге қол жеткізе алмады», - деп жазады әзірлеуші.
Ол сонымен қатар, ол өтініш берген жағдайда, ол дақылдарды жіберілмеген жағдайда, ол дақ-жұдырғы, ол емес, жіберілген мекен-жайға, FTS-тен және FTS-тен және FTS-тен және FSUE Ресейдің FSUE (әзірлеуші тексеру »- чекті тексеру« - VC .Ru) және күзетші доменінде .Stimududg.ru.
Осыдан кейін ол Google индексінде орналасқан стуотгтың көпшілік репозиторийлеріне сілтемелерді, әзірлеушіге сәйкес, бір жылдан астам уақыт. Репозиторийлерде ол «LKIO», «LKIP», «ЛКИП», «LKUL» түзетулері бар қалталарды тапты. Олар Nalugh.ru доменіндегі FTS-тің бірдей атауларына жатады - lkio.nalog.ru, lkip.nalog.ru және lkul.nalog.ru.
«Анықталған дереккөздер FTS қызметтеріне қатысты болатынын, жауынгерлік веб-серверде UPPod-Styles.txt файлының болуын қарапайым тексеру, бұл кездейсоқ кездейсоқ бола алмады», - деп жазады Писунов.
Ол тексерудің нақты әзірлеушісі «тексерулер» - стут. IT-кеңес беру және бағдарламалық жасақтаманы әзірлеумен айналысатын «Studio TG» сайты, жобалар арасында «Салық төлеушінің жеке шоты».
Сондай-ақ, Писунов компанияның кінәсі, салық қызметі кодексінің бастапқы коды жалпыға қол жетімді деп санайды. VC.RU редакциясы сұраныс жіберді және FTS және Studio TG-ден түсініктеме күтеді.
# Жаңалықтар # FTS
Көзі