«Члены Planet Fitness пользуются скидками и специальными предложениями от наших партнеров», — говорится на их фиолетово-желтом веб-сайте. И, как правило, эти скидки применимы только к участникам Black Card® — их премиальному уровню.

Тогда можно спросить, а как участники Black Card® получают эти скидки?

Согласно их веб-сайту и многочисленным общедоступным публикациям в Facebook, можно перейти по следующей ссылке (ссылка в комментарии Facebook в конечном итоге перенаправляет на ссылку ниже), подтвердить свое членство и получить доступ к специальным скидкам!

https://www.planetfitness.com/membership-discounts



Скидки на членство | Planet Fitness
Для участников Planet Fitness действуют скидки и специальные предложения от наших партнеров. Ознакомьтесь с нашими текущими скидками для участников…www.planetfitness.com



Там вас встретит охранник в виде рекламного объявления, которое попросит вас указать ваш «номер Keytag». Пока все хорошо, верно?

Но…
Если вы введете что-нибудьдлиной более5 символов, вы попадете. Пример строки: :

Фуф! Это межстраничное объявление исчезло. Более того, «скидочные ссылки» тоже довольно просты — в них нет секретного кода доступа, GET-параметра или чего-то еще для проверки. Это один простой URL-адрес, который вы могли бы найти в Google.

Причина

Почему это происходит?
Потому что… вот фрагмент клиентского кода страницы членство-скидки. Кнопка Подтвердить на глобально доступном веб-сайте Planet Fitness запускает метод под названием myFunction(), который любой серьезный разработчик нашел бы забавным. Как вы можете видеть, если предоставляется любой ввод длиной более 5 символов, межстраничное объявление просто скрывается с помощью стилей CSS. Короче говоря, нет ни одного сетевого запроса, отправленного на сервер для фактической проверки! В качестве альтернативы любой ребенок, который знает, как использовать Инструменты разработчика в современном веб-браузере, может просто скрыть межстраничное объявление.

Возможные причины

Кто-то может спросить, почему такой ленивый способ проверки премиум-доступа — на глобальном веб-сайте, несмотря на все эти технологии и API, которые у нас есть?

Потому что членство управляется не через собственное программное обеспечение Planet Fitness, а через myiclubonline.com — очевидно, популярное приложение для управления тренажерным залом. И неясно, есть ли у них API для программной проверки членства вообще! Также возможно, что каждый франчайзинговый клуб Planet Fitness использует собственный выбор программного обеспечения для управления взаимоотношениями с клиентами (CRM). Более того, контроль доступа относится к сокрытию специальных скидок, предлагаемых розничными продавцами-партнерами, или, по крайней мере, к тому, чтобы делать вид, что это так. И, возможно, их не слишком заботит, кто их получит, и они просто полагаются на то, чтобы честные люди оставались честными. Усилия и ресурсы, потраченные на интеграцию различных CRM с мегасайтомall Planet Fitness за простую скидку, того не стоят!

Результат

Участники — постоянные владельцы или держатели Black Card®, а также общественность, то есть подавляющее большинство лиц, не являющихся членами, могут получить скидки!

Отпразднуйте!

Планета Фитнес — единая Нация под ленивыми кодерами, неделимая, со скидками для всех!

ПРИМЕЧАНИЕ.Хотя указанный недостаток является ошибкой в ​​том смысле, что он, вероятно, не соответствует ожиданиям, определенным в Спецификации требований, это преднамеренныйодин; ленивый обходной путь и сам по себе не является уязвимостью системы безопасности. Любой менеджер проекта или известный веб-разработчик сможет сделать такой же вывод. Таким образом, стандартные методы раскрытия информации об уязвимостях и периоды ожидания не соблюдаются.

Страница членство-скидки была заархивирована для дальнейшего использования или для ретроактивного тестирования ошибки: https://web.archive.org/web/20180622212603/https://www.planetfitness.com/membership-discounts