毎月、Tinkoff Bankの各クライアントは、電子メールで抜粋を受け取ります。これは、口座内のお金の動きに関する情報が添付されたpdfファイルが添付された素敵な手紙です。
ネストされたステートメントの例:
7月末に、レターのレイアウトが少し変更され、銀行はステートメントを含むファイルをレターに添付せず、リンクのみに限定することにしました。
すべては問題ありませんが、リンクは銀行のWebサイト( https://www.tinkoff.ru 、次のページ)に直接つながります。
www.tinkoff.ru/statement/?ticket=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
いくつかのポイント:
- 64桁のチケットIDを除き、パラメーターはリンクに渡されません。
- リンクには、任意のIPアドレスからアクセスできます。
- リンクからページにアクセスするには、銀行のウェブサイトで個人アカウントにログインする必要はありません。
マジックページを読み込むと、特定のクライアントのステートメントのダウンロードが自動的に開始されます。
銀行の従業員はこの状況についてコメントしました 。
UPD :ステートメントページのコードを見ると、組み込みウィジェットを見つけることができます。
-ツイッター
-Youtube
-Google+
明細書を受け取るためにページのアドレスのみを知る必要がある場合、これらのサービスの技術担当者はすでに銀行の顧客の機密データにアクセスできます。
UPD 2:robots.txtの問題
コメントでは、Khabravchiansは、電子メール内のリンクがドメインclick.email.tinkoff.ruにつながることに気付きました。この場合、robots.txtは空です。
抽出自体(pdfドキュメント)は、robots.txtで閉じられていない www.tinkoff.ru/api/v1/statement_fileからダウンロードされます。
質問は次のとおりです。