Dyrk.org - Do You Really Know

[Zendesk] – Continuer d’utiliser le produit malgré l’expiration de la période d’essai

Publié le 3 juin 2018 par #Ro0t | 0 commentaire

 

Bonjour à tous,

 

Durant l’une de mes expériences professionnelles, j’ai eu l’occasion de découvrir ZenDesk.
ZenDesk est une plateforme de Service Client qui permet de :

  • Gérer des tickets
  • Communiquer au travers de multiples canaux (mail, application mobile, Facebook, Twitter)
  • De créer des formulaires de contacts personnifié et conditionnels (afficher tel ou tel champ si une condition est remplie)
  • Live chat

Bref un outil assez complet qui fonctionne un peu comme un CMS avec la possibilité de customiser l’interface à l’image de votre site ou de votre entreprise.

 

L’offre d’essai

ZenDesk offre une période d’essai de 1 mois …
Ce délai passé vous devrez vous acquitter d’une ou plusieurs licences.
Dans le cas contraire, votre accès au Backend (l’administration) sera bloqué  …

 

 

Il est possible qu’un mois d’essai puisse vous paraître plutôt long …
En réalité c’est assez court dans un contexte d’entreprise,  surtout au vu le nombre de fonctionnalités du produit.

 

By-passer cette limitation

J’ai donc analysé (par curiosité) la manière dont ZenDesk bloquait l’accès au backend …
J’ai ouvert la console de mon Google Chrome (touche F12) et j’ai analysé dans l’onglet « réseau », les différentes requêtes qui étaient faites au chargement de la page.

C’est alors que j’ai trouvé le « blocage » …

 

 

L’une des requêtes qui est faites va charger le fichier « account_suspension-xxxxxxxxxxxxxxxxxx.js »
xxxxxxxxxxxxxxxxxx est variable, il correspond à un hash.

 

Google Chrome d’un simple clic droit sur la requête, permet aux développeurs de bloquer une ou plusieurs requêtes ( à des fins de débug par exemple)

 

 

Résultat, en laissant ouvert la console, j’ai rechargé la page …
Et, hop !
J’avais à nouveau accès à toutes les fonctionnalités.

 

Conclusion

Cet article n’altère en aucun cas le code de ZenDesk, néanmoins il n’est pas pour autant plus « légal » de le faire.

L’objectif ici était de montrer une manière de procéder pour by-passer certains systèmes.
Je vous recommande si vous êtes éditeur de verrouiller directement au niveau des fonctionnalités côté serveur …
La sécurité côté client devrait être uniquement là pour l’esthétisme.

J’espère que cet article vous aura plu, et vous souhaite une excellente journée !