top-image
Главная » Академия » Пресса о нас » zlonov.ru: Взлом Gartner через адресную строку

zlonov.ru: Взлом Gartner через адресную строку

Андрей Масалович на прошедшем форуме PHDays III показывал различные приёмы конкурентной разведки в сети Интернет и, в частности, сказал, что при открытии сайта чаще смотрит не на его страницу, а на адресную строку, так как именно она его кормит. Попробуем и мы поесть немного на сайте Gartner.com 

Компания Gartner известна своими аналитическими отчётами и не последнее место по популярности среди всех них занимают так называемые Магические Квадранты (Gartner Magic Quadrants). На самом деле, в таких отчётах кроме всем известных картинок с Лидерами, Претендентами, Провидцами и Нишевыми игроками, содержится и более подробное описание сильных и слабых сторон каждого из вендоров.

Magic Quadrant for Enterprise Network Firewalls 2013 Apr

Свою степень доверия к таким отчётам каждый определяет самостоятельно, но даже старые отчёты продаются по стандартной цене US$1,995. И, видимо, кто-то их всё же покупает. Принимать решения, руководствуясь мнением только одной исследовательской компании, вовсе не обязательно, но быть знакомым с этим мнением — часто бывает полезным.

Если вы не являетесь клиентом Gartner, то всё равно некоторые из отчётов доступны как вам, так и всем желающим (правда, знающим правильный адрес). Вот свежий пример доступного отчёта по SIEM-системам: Magic Quadrant for Security Information and Event Management. Не вникал в суть принципов Gartner, но, как я понял, можно купить право на распространение определённого отчёта и свободно давать ссылку желающим (своим клиентам, например). По окончании оплаченного периода отчёт из свободного доступа пропадает. Обратите, кстати, внимание на саму ссылку — она явно сгенерирована случайно и с точки зрения нашего пропитания не выглядит многообещающе:

 

http://www.gartner.com/technology/reprints.do?id=1-1FJ5IML&ct=130508


Использование краткосрочно доступных отчётов неудобно тем, что саму ссылку вам кто-то должен сказать, а просто поиском конкретный нужный именно сейчас отчёт не найти. Зато легко можно найти PDF-версии, выложенные на самых разных сайтах. В принципе, ими можно тоже пользоваться, но никакой гарантии достоверности при этом, конечно же, нет. Да что там отчёты — даже картинки, коих по запросу «gartner magic quadrant» доступно несколько тысяч, могут оказаться поддельными. Взгляните на иллюстрацию выше — это шуточная картинка из моего первоапрельского поста.

Но, как оказалось, Gartner всё же готов сам добровольно отдать вам если и не весь нужный вам провиант очёт, то буханку хлеба сам квадрант добровольно и без какой-либо оплаты. Надо только правильно его попросить =)

Выше я уже привёл ссылку на (пока) доступный отчёт. Она сама, повторюсь, к сожалению, особо ничего не даёт, поэтому давайте поисследуем страницу. Итак, мы видим, что динамически формируемая страница содержит шапку, текст, пару таблиц и самую интересующую нас сейчас часть — картинку с квадрантом. Штатными средствами браузера (Правая кнопка мыши -> Копировать URL картинки) можно выяснить, что её адрес выглядит так: 

 

http://imagesrv.gartner.com/reprints/246800/246886/246886_1.png;pv94c471a899798cc3


В адресе картинки тоже есть некий элемент случайности — цифры, идущие после точки запятой, но, как вы можете сами убедиться, они ничего не значат и картинка прекрасно открывается и по адресу: 

 

http://imagesrv.gartner.com/reprints/246800/246886/246886_1.png

 

Давайте ещё внимательнее посмотрим на этот адрес. Ничего не замечаете? Посмотрите теперь, какой кодовый индекс у этого отчёта. Правильно: «ID:G00246886». Согласитесь, что адрес картинки и индекс очень похожи.

У меня была под рукой и другая ссылка на общедоступный отчёт: Magic Quadrant for Enterprise Network Firewalls. У данного отчёта индекс «ID:G00229302», а адрес картинки (после отбрасывания мусора в конце) оказался вот такой:

 

http://imagesrv.gartner.com/reprints/229300/229302/229302_1.png

 

Таким образом, адрес картинки с самим квадрантом легко вычисляется, если известен индекс содержащего её отчёта:

 

http://imagesrv.gartner.com/reprints/[ID00]/[ID]/[ID]_1.png

[ID] — это последние 6 цифр индекса

[ID00] — это [ID], у которого две последние цифры заменены нулями

 

Алгоритм превращения можно написать хоть формулой в Excel:

 

=СЦЕПИТЬ(«http://imagesrv.gartner.com/reprints/»; ЛЕВСИМВ(ПРАВСИМВ(A1; 6); 4); «00″; «/»; ПРАВСИМВ(A1; 6); «/»; ПРАВСИМВ(A1; 6); «_1.png»)

 

В ячейку A1 нужно подставить индекс отчёта и можно наслаждаться полученным бутербродом результатом. Полный список всех отчётов Gartner Magic Quadrant можно посмотреть здесь. При открытии любого мы попадаем на на страницу авторизации, при этом в верхнем правом углу виде индекс. Например: «ID Number: G00247518». Кстати, в ячейку A1 индекс можно вставлять прямо в таком виде, так как для формулы важны только последние шесть цифр.

При желании всё можно ещё сильнее автоматизировать и нехитрым скриптом скачать все картинки разом. Но я в этом большого смысла не вижу — всё же Gartner если и отражает какую-то действительность, то точно не нашу российскую.

Кстати, для более старых отчётов (2-3 летней давности) этот подход не срабатывает. Возможно, он не сработает и для ещё каких-то, которые я не проверял, но это нормально. Ведь конкурентная разведка — это не просто использование набора стандартных (кем-то описанных) методик, но и умение анализировать, думать, изобретать новые подходы. Приятного всем аппетита! =)

Посмотреть расписание курсов по конкурентной разведке.

Автор: Алексей Комаров, блог zlonov.ru