Стикаючись з автоматизацією, часто доводиться чути про «хвильове складання» і «хвилі замовлень». Для початку, маленька ввідна про те, яким чином з'явився термін «хвиля». Уявімо собі графік, де по осі X - час, а по осі Y - деякий показник. Ми чекаємо, поки значення показника по осі Y не збільшиться до заданої максимальної величини, і починаємо виконувати дії, що призводять до зменшення значення. Потім, «впавши» до заданого мінімального значення, знову чекаємо накопичення. Таким чином, у нас з'являється графік у вигляді своєрідних «хвиль». Наведу простий приклад, коли використання таких «хвиль» нам може бути вигідно при збірці замовлень:

Вечірній багхантинг на Facebook призвів до сервісу Soundcloud. Досліджувалася можливість XSS вразливостей при шейрингу треків у стрічку Facebook. Після кількох невдалих спроб захотілося перевірити і сам Soundcloud. Протягом перших 5 хвилин було виявлено марний, так званий self-xss - при додаванні нового тега можна передати скрипт. При наведенні на цей тег курсором виконувався код. Трохи пізніше я знайшов два відео в youtube.com, де горе багхантери викладали це як щось критичне (один навіть назвав відео як «Soundcloud Xss epic fail»). Продовживши свої розваги, підключив другого персонажа, адже якщо є атакуючий, повинна бути і жертва.

Дисклеймер: всьому сказаному нижче «вірити не можна не вірити». Кому поставте самі.

У цій статті я розповім, як з одного повідомлення про помилку на сайті я випадково отримав доступ до внутрішньої інформації компанії (і навіть трохи більше). Зазначу, що це можна виконати, використовуючи один лише браузер.