それマグで!

知識はカップより、マグでゆっくり頂きます。 takuya_1stのブログ

習慣に早くから配慮した者は、 おそらく人生の実りも大きい。
トップ > 教習所の予約時間を間違えてキャンセル料発生したので、スクリプトで頑張る

教習所の予約時間を間違えてキャンセル料発生したので、スクリプトで頑張る

オリックス教習所で、二輪教習頑張ってます。

二輪教習って順番通りとるのですが、思った日に開いてなかったり、開講日がわかりづらいので、いつ予約するべきいいかわかりにくいです。

教習予約の時間間違えてキャンセル料が・・・

やっちまった。いつもはWEBから予約して、予約確認メールを自分宛てに送るのだけれど、たまたま、教習所の端末で予約して、メールを送らないままにしてた。

思い切り時間を勘違いしてて、実車⇛セット⇛セット学科の3コマ分がキャンセルになってしまいました。

予約システムにログインして、自動でメール送るようにした。

予約取った後に、メール送信ボタン押すの、とても面倒。

メンテ時間とかあって、予約確認したいときに送れない。こんな時はスクリプトを作る。

orix.rb

教習所のシステムがクソすぎて笑う。

関西の教習所のシステムは、殆どが共通になっていて、癒着を疑うレベル。

教習所の予約、生徒管理など全部をパッケージ管理してるんだろうけど、時代おくれすぎて辟易する。

教習所って料金や立地以外に競争がないから、たぶんシステムにコスト割かないんだろうな。。。

競争がないシステムはこちら

Google検索で、ちょっと探したら、こんなかんじで、どこでも同じシステムを使っているとわかる。

https://www.google.com/search?num=30&safe=off&hl=en&q=%E6%95%99%E7%BF%92+ncors.com&oq=%E6%95%99%E7%BF%92+ncors.com&gs_l=serp.3...11742.15358.0.15414.16.15.0.0.0.2.318.1852.0j6j2j1.9.0....0...1c.1j4.58.serp..16.0.0.E5lrEu6uNS8

ちょっとこれ、どうなってんの

ディレクトリ丸見え

https://dk.ncors.com/orix/ncors/

ディレクトリ丸見えなのはいいけど、一部テンプレートはソースが見えてるようなきがするんですけど。。。

セコムの画像をローカルキャッシュしたら意味無いでしょ・・・ https://www.secomtrust.net/service/pfw/apply/sr/3_3.html

開発元はこちら?

ncors.com をWhois して調べたら、ドメインオーナーがこちらだったので、多分開発元。ここが色々独占して競争せずに「美味しいです」してる会社っぽいですね。

各種サービス・情報システム | 大丸興業株式会社

http://i.gyazo.com/70c9f29adf143d21d1ac57baa8168eb4.png

はいはい、XSS脆弱性

エラーメッセージは、get 引数に CP932で埋め込まれていて、自由に遊べる。

https://dk.ncors.com/orix/ncors/login.asp?msg=%E3%81%93%E3%82%93%E3%81%AB%E3%81%A1%E3%81%AF%E3%81%93%E3%82%93%E3%81%AB%E3%81%A1%E3%81%AF
https://dk.ncors.com/orix/ncors/login.asp?msg=%3Cscript%3Ealert(%22helloworld%22)%3C/script%3E

blockquote の中にScriptタグ見えるんだけど、気のせいだよね。。。。

もうね、これで10年以上やってる、うちは実績ありまぁぁぁぁぁすとか、恥ずかしいレベル。

SQLインジェクションを試そうと思ったけど、それやると不正アクセス禁止法にかかるからやめました。

データは、0/1 ビットフラグで転送

予約可能な日時は、0/1のビットフラグを「文字列」としてFormに埋め込んでる。。。

空き時間の形式は、日付+時限数の数字

2014-11-09 の空き時間なら、0000000 ⇛ 110900000000

えっと、、、これ、Stringでビットフラグ転送とか・・、、、ナイスアイディアですね。

つまり、表示時点の一覧データをセッションに持ってない。もしかしてセッションにデータ持ってない可能性が高く、さらにえばトランザクションの管理出来てない可能性も・・・

もしかして、Windows Xpで動いてんじゃないだろうか・・・

そういえば、教習のシュミレータがWindowsXPだったので、XPの可能性もあるね。

タッチパネルの予約の専用端末はHTML+CSS+JSでいいじゃん

WEBで予約できるようにして、教習所設置の端末なんかゴミ箱ポイーってして、iPad 置いとくと良い感じに解決じゃん。。。Windows予約システムとWEB、スマホ用を別途作る必要ないし、使う方もうれし。

つまり、タッチパネル機器設置してメンテ支払いしてるなら、その金で、iPadやNexus7おいておけばいいんじゃないのかな。

教習原簿や教習生カードなんて必要なの?

教習生カードがないと、専用端末で予約や原簿の取り出しが出来ないんだけど、それってiPhoneQRコード表示したら終わるよね・・・磁気カードなんて必要なの?

教習生原簿とかも、WEBで閲覧できるようにすればいいし、

学科教習って教官が同じようなことを何度も何度も繰り返して喋って壊れたテーブレコーダーみたいになってるから、だったらYoutubeビデオでいいよもう・・・

実車教習のビデオほしいよ。。

2輪教習は教官の声が殆ど聞こえないから、生徒4人ー教官1人のときは絶望的。

もうね、ポイントはビデオくれ。

関目自動車学校に行ってた10年前から進化してない。

10年前に、関目自動車学校に行ってた時、「WEBから予約できるようになりました!!」って宣伝してたんだけど、あのころから殆ど変わってない。

教訓:競争がないと人は成長しないね。

2014-12-24 追記

ブログでバンバン煽ったら、12月に入ってから、システム改修されてたよ。

指摘受けても、晒されないと改修すらできない。そんな技術レベルじゃ、話になんねーぞっと。

ちなみに、わたし優しいから、スクショとか取ってないからね。優しい。