Саппорт Hh

- так и задумано?

топики удаляются по полста штук подряд, например:

for i in 1 2 3 4; do curl -s -H 'X-Requested-With: XMLHttpRequest' 'https://feedback.hh.ru/topics-filter-widget?order=new&object_type=all&category_id=all&page='"$i" | perl -Mstrict -nwE 'my @arr = m{<div id=\\"topic-(\d+)\\"}g; say join "\n" => @arr;'; done | sort -n | uniq

80456
80468
80522
80567

это номера последних тем. Вывод- форум замечательный и модераторы интересные.

Если сделать, например, так:

curl -H 'X-Requested-With: XMLHttpRequest' 'https://feedback.hh.ru/topics-filter-widget?order=new&object_type=all&category_id=all&page=0'

то будет видно вообще прекрасное:

EXCEPTION: LIMIT argument offset=-10 is not validException on line 270 in file /var/www/html/application/6.5.5/library/Zend/Db/Adapter/Pdo/Mysql.php, PHP 7.3.19-1+ubuntu16.04.1+deb.sury.org+1 (Linux)

это же просто вектор атаки какой-то, смотрите: версия PHP, используемый дистрибутив и фреймворк - при том всё это устаревшее донельзя, следовательно имеет публичные уязвимости. Может ну его на Хх, а?

2 комментария

Спасибо за Ваши обращения и внимательность! Мы провели проверку и устранили потенциальные риски, о которых Вы нам сообщили.

Здравствуйте, глубокоуважаемое Лицо Компании!

Премного тронут как вниманием, так и тем, что, невзирая на то, что мой пост был сырым - не содержал ни оформления, ни хоть каких-либо разъяснений для не-технарей, и я знаю, как это больно, но это была, скорее, краткая запись с целью чтобы мне не забыть о произошедшем и когда-нибудь изъяснить это действительно подобающе.

По предметной части прогресс пока ещё не удалён вами по ссылке ниже. Ой, что это: https://imgur.com/a/5UI3Pd0 - кажется, кто-то опять мешает вам воровать из интернетов мои буквы! Ну, мы с вами сейчас с ним раз... и пойдём поговорим) Лови его, голово-охотники!