Еще пара прОмок от Aviasales

Как то я писал о том как не надо устраивать конкурсы. Думаю, что обоюдные выводы были сделаны. А вот некоторое время назад, ленту заполонили репосты вот такого вида

Ну вы их видели =) Ну и я по привычке решил глянуть, что там стоит за конкурсом.

Логика дизайнеров конкурса была такая:

1) Проходит тест

2) Получает результат

3) Предлагается расшарить результат

4) После выбора социальной сети открывается окошко для шаринга

5) По закрытию окошка, выпадает штука, где просят вбить почту, для участия в конкурсе

Пункт 4 и способы учета и накручивания ссылок мы проходили в прошлый раз. А пункт 5 выглядел новым и необычным. Исследуем!

Формируем curl запрос

Узнаем, что вариантов ответа не очень много: все ок, такая почта уже была, это не корректная почта. И при этом не требуется никаких дополнительных заголовков! Красота!
Участвующие в конкурсе почты где-то хранятся и для каждой отсылается письмо. А что если поменять регистр первого символа?!(gmail не учитывает регистр) Все ок, письмо пришло. А что если вставить точку разделитель?!(gmail и их игнорирует) Все ок!!! Кайфуем!

То есть для одной почты длиной N(для простоты возьмем вариант только с буквами), мы можем cгенерировать 2^(2*N - 1) вариантов почты. Что много! Потенциально можно забить их почтовый пул и потенциально выиграть их всех))

Потом пошли фиксы. Стали учитывать регистр, точки, сделали обязательными какие-то куки. Но все закрыть не смогли, оставлю это на сладкое =)

Так что ребята, проектируйте тщательнее или заказывайте у меня аудит ваших промо-акций %)

P.S. Ну а еще такая штука была в соседней промке с Санкт-Петербургом.