Уязвимость «вконтакте» позволяла получить прямые ссылки на приватные фотографии

Сайт для просмотра скрытых фотографий В ВКонтакте

Данный метод можно использовать в случае уже полученного фрагмента кода, получить который можно вышеописанным способом. Для просмотра скрытых фото, необходимо вернуться на нужную страницу, на сайте социальной сети в строке браузерного поиска ввести ссылку, выстроенную по типу – vk.com/id….., где после ID идет идентификационный номер страницы. Далее ставится курсор на самый конец адреса и сразу вводятся специальные знаки «?z=».

В результате подобных действий в строке рабочего браузера выйдет надпись – vk.com/id……?z=albums….., где многоточие является ID пользователя. После нажатия на Enter, вниманию автоматически откроются все фото интересующего человека.

Уязвимость «ВКонтакте» позволяла получить прямые ссылки на приватные фотографии

tl;drБыла обнаружена уязвимость в закладках ВК, которая позволяла получать прямые ссылки на приватные фотографии из личных сообщений, альбомов любого пользователя/группы. Был написан скрипт, который перебирал фотографии пользователя за определенный период и затем, через эту уязвимость получал прямые ссылки на изображения. Если коротко, то: можно было за 1 минуту получить все ваши вчерашние фотографии, за 7 минут — все фото, загруженные на прошлой неделе, за 20 минут — прошлый месяц, за 2 часа — прошлый год. Уязвимость на данный момент исправлена. Администрация ВКонтакте выплатила вознаграждение в 10к голосов.История началась с того, как мне в личку во «Вконтакте» кинули изображение. Обычно, если вещь важная, я её загружаю в облако, но в моём случае в этом не было необходимости, и я решил воспользоваться функцией закладок «Вконтакте».Коротко про эту функциональность: в закладки добавляются все вещи, которые юзер лайкнул; также есть функция ручного добавления ссылки на пользователя и внутренней ссылки «ВКонтакте». Последний пункт мне показался очень интересным, так как после добавления ссылки на фото я увидел его превьюшку и текст с типом добавленной сущности:При добавлении ссылки сервер парсит её, пытается выяснить, на какую сущность она ссылается и достает информацию об этом объекте из базы. Как правило, при написании такого рода функций с множеством условий вероятность того, что разработчик что-то забудет, очень высока. Поэтому я не смог себе позволить пройти мимо и решил потратить несколько минут, чтобы немного поэкспериментировать.В результате мне удалось кое-что найти. При добавлении ссылки на фотографию, заметку или видео, к которым нет доступа, можно было получить немного приватной информации об объекте. В случае с фото и видео — это маленькая (150×150) превьюшка, на которой довольно сложно что-либо разглядеть, у приватных заметок отображалось название. Через метод API fave.getLinks можно было получить ссылки на изображение, но опять же слишком маленького размера (75px и 130px). Так что, по сути, ничего серьезного.Я решил зайти на мобильную версию сайта, чтобы проверить, отображается ли там всё так же, как и в обычной версии. Заглянув в код странички, я увидел это:Да! В значении атрибута data-src_big хранилась прямая ссылка на оригинал изображения!Таким образом, можно было получить прямую ссылку на любое изображение во «Вконтакте», вне зависимости от того, куда оно загружалось и какие настройки приватности имело. Это могло быть изображение из личных сообщений или же фотография из приватных альбомов любого пользователя/группы.Казалось бы, на этом можно было остановиться и написать разработчикам, но мне стало интересно, возможно ли, эксплуатируя эту уязвимость, получить доступ ко всем (ну или загруженным в определенный период времени) фотографиям юзера. Основной проблемой тут, как вы понимаете, являлось то, что не всегда известна ссылка на приватную фотографию вида photoXXXXXX_XXXXXXX, которую нужно добавить в закладки. В голову пришла мысль о переборе id фотки, но я её почему-то тут же отверг как сумасшедшую. Я проверил связанные с фотографиями методы в API, посмотрел, как приложение работает с альбомами, но никаких утечек, которые могли бы мне помочь получить список с айдишками всех закрытых фоток юзера, найти не удалось. Я уже хотел было бросить эту затею, но взглянув еще раз на ссылку с фотографией, вдруг понял, что перебор таки был хорошей идеей.

Поиск сохранёнок в коде страницы ВК

Есть еще один способ, которые дает возможность посмотреть закрытые сохраненные изображения в ВК 2020. Для этого вам понадобиться открыть исходный код страницы браузера. Можно воспользоваться любым, эта функция доступна в каждом популярном браузере. Если речь идет о целом закрытом альбоме, нужно перейти в этот раздел и нажать правую кнопку мыши.

  1. Затем нажмите в контекстном меню пункт «Исходный код страницы».

    Пункт в контекстном меню браузера «Исходный код страницы» В разных браузерах эта фраза может отличаться. Нажимать мышью нужно на свободном от изображений и ссылок месте окна.

  2. Здесь будет множество информации, многим даже непонятной. Но нам нужен поиск по этим всем элементам. Для этого можно нажать комбинацию клавиш CTRL+F.

    Поиск по исходному коду страницы

  3. В строку поиска вводим слово «albums».
  4. Результатов обычно будет несколько. Нам нужно будет выписать идентификаторы после нашего ключевого слова.

    Результаты поиска с ключевым словом albums

  5. Когда у нас будут ID альбомов, закройте исходный код и вернитесь на обычную страницу ВКонтакте.
  6. Далее введите следующий адрес в строке браузера https://vk.com/id***. Вместо звезд нужно вводить идентификатор страницы пользователя.
  7. Потом после идентификаторов без пробела введите «?z=» — без кавычек.
  8. Сразу же после этих символов без пробела вводим наши скопированные идентификаторы альбомов.
  9. Готовая строка у вас должна получиться такая (например): https://vk.com/id15684646468?z=albums4844846664486.

Этим способом можно попробовать открыть даже закрытые альбомы незнакомых людей, которые не являются вашими друзьями в ВКонтакте.

Просмотр скрытых страниц Вк без id

Помимо перечисленных выше методов существует ещё один крайне простой и удобный способ просмотра скрытых страниц Вконтакте. Он позволяет обойтись без авторизации и поиска id. Чтобы воспользоваться упомянутым методом, понадобится:

  • вписать в адресную строку браузера ссылку http://vk.com/search;
  • воспользоваться стандартным поиском человека в Вконтакте;
  • пролистать фотоальбомы и фотографии, просто кликнув иконку с изображением нужной личности;
  • перейти на найденную страницу для более детального просмотра.

Важнейшие преимущества описанного подхода заключаются в отсутствии необходимости использовать сторонние сервисы и программы. Это гарантированно бесплатно и безопасно, а сам пользователь ничем не рискует.

Бесплатные программы

Важно подчеркнуть, что большая часть программ абсолютно бесплатна, потому пользователям не стоит переживать о возможных расходах или ненадёжности сервиса. Сказанное касается и перечисленных выше программ для Вк.

В ситуациях, когда у пользователя требуют оплату за предоставленные услуги, стоит задуматься о качестве работы системы. Возможно, деньги требуют мошенники, желающие нажиться на чужой беспечности. Поэтому, прежде чем использовать непроверенное приложение, следует поискать дополнительную информации ознакомиться с отзывами уже воспользовавшихся ими людьми. Эти простые действия помогут избежать неприятностей.

Скрытый профиль в Инстаграм: что это такое и можно ли его просмотреть

Каждый, кто проходит регистрацию на сайте, встает перед выбором: либо раскручивать его, привлекая все большее количество подписчиков, либо, наоборот, закрыть свою страницу от посторонних глаз.

Первые стараются сделать свой профиль ярким, насыщенным множеством событий, интересных фотоснимков и видеороликов. Вторым свойственно воспользоваться настройками приватности. В этом случае, если вы не входите в число подписчиков, то вам не удастся стать обозревателем новостей этого пользователя.

В таком случае самый простой и законный способ – попроситься в друзья. В случае одобрения заявки можно будет не только смотреть фото и видео, но и оставлять комментарии, ставить лайки, и совершать другие действия.

Чтобы закрыть доступ к своей страничке, необходимо:

  1. Перейти в свой профиль;
  2. Открыть “настройки”;
  3. Далее “Конфиденциальность и безопасность” – “Конфиденциальность аккаунта”;
  4. Вы увидите надпись «Закрытый аккаунт». Рядом с этой строкой расположен маячок, который необходимо привести в активное состояние; 
  5. После выполнения таких действий профиль становится закрытым для тех, кто не входит в число подписчиков и друзей.
Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector