10 février 2016 à 15h23

Vulnérabilité VKontakte : accès aux aperçus des photos depuis les dialogues et albums cachés n'importe quel utilisateur

Court

Une vulnérabilité a été découverte dans version mobile site vk.com. Il vous permettait d'afficher des aperçus des photos cachées, y compris des photos issues des conversations des utilisateurs, et vous pouviez également obtenir des informations sur les utilisateurs qui aimaient cette photo cachée. Sur ce moment La vulnérabilité n'existe plus – elle a été corrigée il y a six mois. VKontakte a exprimé sa gratitude à hauteur de 700 $ (non, pas en votes).

Comment tout a commencé

Pendant la séance, vous êtes distrait par tout, mais pas par la préparation des examens. Ainsi, quand j'ai découvert le programme Bug Bounty de VKontakte sur hackerone.com, au lieu de me préparer aux examens, j'ai commencé à rechercher des vulnérabilités. Pour une raison quelconque, j'ai immédiatement été attiré par la recherche de vulnérabilités associées aux photographies. paramètres cachés la vie privée, et il s'est avéré - pas en vain.

Recherche de vulnérabilités sur la version complète du site

En supposant que je connaissais l'identifiant de la photo cachée (plus d'informations sur sa recherche ci-dessous), j'ai commencé à essayer de remplacer cet identifiant dans toutes sortes de requêtes curl - j'ai essayé de sauvegarder les images cachées dans mon album, de m'y identifier, d'aimer, de republier, etc. rien n'a donné de résultat positif jusqu'à ce que j'essaye simplement d'envoyer une photo cachée sur mon mur. Le résultat était étrange - dans la console, la requête a renvoyé le résultat correct et est apparue sur le mur nouveau poste, mais son contenu était vide. Peu importe mes efforts, le serveur a arrêté toutes les tentatives d'envoi d'une photo cachée au mur - les messages étaient vides.

Passer à la version mobile

Ensuite, je me suis souvenu de ce commentaire et j'ai décidé d'essayer de faire de même dans la version mobile du site.

Envoi d'une photo au mur :

Curl "http://m.vk.com/wall53083705" -H "Cookie: remixsid=#remixsid" --data "act=post&hash=#hash&attach1_type=photo&attach1=idOwnerPhoto_idHiddenPhoto" # la photo d'identité se compose de deux parties séparées par un trait de soulignement idOwnerPhoto_idHiddenPhoto
Cette demande n'a pas été complétée correctement, mais après avoir actualisé la page, j'ai été surpris de constater qu'une petite copie ci-jointe de la photo apparaissait sur le formulaire de soumission.

La taille maximale des photos est de 130x130, mais cela suffit pour, par exemple, reconnaître des visages sur une photo. Tente d'obtenir un lien vers photo complète n'a abouti à rien. Apparemment, une fois cette vulnérabilité corrigée, les liens directs vers la taille réelle ne peuvent pas être facilement obtenus à partir de la version mobile du site.

Parcourir les photos

Vulnérabilité trouvée. Pour exploiter la vulnérabilité trouvée, vous devez obtenir l'identifiant de la photo attaquée.

La photo d'identité se compose de deux parties : photo12345_330000000 (Owner_idPhoto), la deuxième partie s'agrandit de photo en photo, mais il ne s'agit pas d'un incrément automatique régulier. Puisque l’algorithme de sélection des étapes est inconnu, nous allons répéter avec l’étape 1.

Pour énumérer, nous utiliserons la méthode API photos.supprimer. Cette méthode pour tous photos existantes(y compris ceux cachés) reviendront code d'erreur: 15. Et pour toute pièce d'identité avec photo inexistante, une vous sera restituée.

Vitesse de recherche

À partir de cet article, vous pouvez apprendre à trier rapidement les photos. Oui, les données qu'il contient ne sont pas les plus récentes, mais même si l'on tient compte du fait qu'au cours de l'année il y a eu deux fois plus de photographies, le temps de recherche reste toujours acceptable.

pour trouver des liens directs vers les photos d'un utilisateur, disons, de l'année dernière, vous devez trier seulement 30 millions (de _320000000 à _350000000) différentes variantes de liens

En utilisant les accélérations de recherche de l’article spécifié, les photos de l’utilisateur ont pu être recherchées :

en 1 minute, obtenez toutes vos photos d'hier, en 7 minutes - toutes les photos téléchargées la semaine dernière, en 20 minutes - le mois dernier, en 2 heures - l'année dernière.

Élimination des éléments ouverts/cachés

Après avoir reçu des liens vers toutes les photos (masquées et ouvertes) de l'utilisateur, vous pouvez sélectionner uniquement celles masquées en essayant d'obtenir des informations sur la photo à l'aide de la méthode photos.getById. Les photos pour lesquelles les informations ne sont pas renvoyées par cette méthode sont masquées.

Informations sur les utilisateurs aimés

Il était également possible de reconnaître les utilisateurs qui aimaient la photo cachée. La méthode likes.getList a renvoyé tous les utilisateurs qui ont ajouté un objet donné à leur liste de likes, même si cet objet était masqué pour l'utilisateur exécutant cette méthode.

Signaler à Hackerone

Mon rapport a été ouvert en juin. Ils ont fermé la vulnérabilité après deux mois et demi sans rien me dire. Un mois plus tard, j'ai reçu une réponse indiquant que la vulnérabilité avait été confirmée et fermée. Et après un certain temps, j'ai reçu une récompense.

P.S. : pour ceux qui tentent de retirer des récompenses de hackerone.com pour la première fois nouveau compte paypal - Je vous conseille de lire attentivement les termes et conditions. Paypal, lors du transfert de fonds, peut, sans votre consentement, convertir la récompense dans la devise du pays spécifié dans votre profil.

Une énorme collection de photographies privées sur VK (environ 100 millions). Le service collecte des photos de tous les utilisateurs des réseaux sociaux. réseaux dans un seul répertoire.

Trouver des photos d'un utilisateur particulier est simple : il suffit de les saisir. Mais c'est difficile à supprimer, si vous écrivez aux créateurs par e-mail, alors les chances sont faibles, mais si vous faites des dons, les chances augmentent.

Comment le dépôt de bétail collecte-t-il des photos sur VK ? C'est très simple : le service télécharge automatiquement les photos de tous les utilisateurs de la collection dans la collection. mode en ligne. Peu importe où vous publiez votre photo, dans une communauté ou dans un profil. Même si la photo est supprimée au bout de quelques minutes, elle se trouvera déjà dans l'élevage.

Par conséquent, de nombreux utilisateurs mécontents se sont tournés vers Roskomnadzor, ce qui a contribué à la station d'élevage a été bloquée sur le territoire Fédération Russe. Il n'est pas possible de contourner le blocage.

La collecte et le stockage des données personnelles des utilisateurs sont interdits. Bien que les utilisateurs eux-mêmes publient des photos sur accès publique.

Pour l'instant le site ne fonctionne pas même avec des serveurs proxy. Les propriétaires ont abandonné l'entreprise immédiatement après le blocage. Ainsi, vous pouvez dormir paisiblement et ne pas avoir peur que quelqu'un regarde vos photos personnelles.

Analogues de Skotobaza

En 2018étaient différents analogues, comme « Burn », mais ils ne fonctionnent pas tous, car les développeurs de VKontakte ont peaufiné les scripts qui interdisent aux robots de voler des photos privées.

Attention: Internet regorge d'« analogues » d'une ferme d'élevage, mais non seulement ils ne fonctionnent pas, mais ils provoquent également piratage de compte! Si vous tombez sur de tels sites, en aucun cas ne saisissez pas les données de VKontakte. Les attaquants auront accès au compte et pourront le faire.

L’ère des élevages et des services similaires est révolue. Désormais, le stockage et la distribution de photographies intimes et privées sont interdits. Si vous ne respectez pas la loi, une punition suivra.

Aussi contradictoire que cela puisse paraître, même dans un lieu aussi public que les réseaux sociaux, les gens accordent de l'importance à la vie privée et essaient par tous les moyens de se protéger, ainsi que leur espace sous la forme d'un profil, de regards indiscrets. Chaque utilisateur peut fermer un compte, mais en réalité cela ne donne qu’une illusion de confidentialité. En fait, il existe divers secrets grâce auxquels vous pouvez consulter librement n'importe quel profil avec un accès limité.

À quoi ressemblerait-il en connaissant la pièce d'identité ?

Le plus une information important dans le profil de chaque utilisateur inscrit sur les réseaux sociaux se trouve l'adresse de sa page, qui peut être très facilement reconnue, même si elle a été modifiée plus d'une fois. Si vous connaissez l'adresse numérique unique du compte que vous devez consulter, le problème peut être résolu en quelques clics.

Connaissant l'identifiant, vous pouvez visualiser les informations de compte fermé utilisateur en utilisant des services auxiliaires ou en remplaçant des données dans des liens. La première méthode est la plus simple et la plus rapide : il vous suffit de vous rendre sur le site qui consulte les pages fermées et d'insérer les données nécessaires, c'est-à-dire l'identifiant. Voici quelques-uns des sites les plus populaires à regarder :

Un exemple simple d'affichage d'une page utilisateur fermée à l'aide du premier service spécifié. Familiarisez-vous avec les informations contenues dans accès limité simple : tout ce que vous avez à faire est de suivre quelques étapes simples.

Comment puis-je regarder sans connaître l’ID utilisateur ?

Il est beaucoup plus difficile d'ouvrir et de visualiser des informations à partir d'une page fermée si le plus informations principales, c'est-à-dire l'identifiant. Mais ce n’est pas non plus un obstacle absolu. Cependant, vous devrez quand même connaître cette adresse, car tous les services grâce auxquels vous pouvez consulter pages fermées dans VK, ils fonctionnent sur un principe similaire et utilisent un identifiant et non une adresse de lettre.

Comment connaître une pièce d'identité ?

Étant donné que le réseau social Vkontakte ne reste pas immobile et est régulièrement mis à jour, introduisant de nouvelles fonctions et capacités, éliminant les lacunes et les erreurs de calcul initialement manquées. Dans la nouvelle interface il est absolument impossible de fermer la page, il n'est donc pas possible de connaître l'identifiant gros problème. Il existe de nombreuses façons, et en voici quelques-unes.

En savoir plus sur les outils de support

Grâce à l'existence de tels services qui permettent de révéler des informations cachées aux regards indiscrets, vous pouvez visualiser presque toutes les données inaccessibles. Comment fonctionnent-ils et quelle est l’essence des outils auxiliaires ?

Vkontakte doguran ru

Ce site est très pratique et facile à utiliser, c'est pourquoi il est devenu le plus populaire parmi les utilisateurs curieux qui ne veulent pas se contenter des seules données qui leur sont révélées. Le principe de fonctionnement est relativement simple : le site a simplement automatisé le processus de génération de liens qui s'ouvrent informations personnelles et le contenu. En principe, si vous le souhaitez, cela peut être fait manuellement, mais de nos jours, il n'est pas nécessaire de remplacer la valeur ID, puisqu'il existe un système automatique.

Il y a des astuces partout sur le site, donc c'est facile à comprendre. Collez l'identifiant depuis le presse-papier en cliquant sur le bouton pour obtenir une page de liens générés.

Vue VK

Un service auxiliaire similaire, mais créé précédemment, qui fonctionne sur le même principe que le précédent. En plus de la possibilité d'ouvrir pages cachées il y en a bien d'autres sur le site fonctionnalités intéressantes, la possibilité de télécharger des vidéos.

Important! Aucun de ces services ne permettra de visualiser les pages bloquées ou celles qui ont été supprimées. Jusqu'à ce qu'ils redeviennent actifs, personne ne peut les voir.

Est-il possible de visionner sans inscription ?

L’avantage de tous les services ci-dessus est que vous pouvez utiliser leurs services sans vous y inscrire. Il n'est pas nécessaire de vous connecter ou de vous inscrire ici. Mais, pour vous familiariser avec les éléments des données VK ouvertes, vous devez vous connecter à votre compte - de manière anonyme, sans vous connecter au site. réseau social, vous ne pourrez pas faire ça.

Confidentialité ou publicité

Même si Internet implique de la publicité et Accès libre Cependant, les gens tentent de cacher des choses et de contrôler l’étendue du public auquel leurs informations privées ou professionnelles sont accessibles. Mais il est important de savoir qu’aucun réglage ne protège à 100 %, comme le montrent ces instructions. C'est pourquoi, La meilleure façon gardez quelque chose de secret - ne le téléchargez pas sur Internet !

En train d'explorer les possibilités et facile à utiliser pages du réseau social moderne VKontakte, les utilisateurs ont un grand nombre de des questions. L'une des plus courantes est la solution au problème, comment chercher photos cachées sur Vkontakte. Très souvent, les utilisateurs masquent complètement ou partiellement leur profil, il n'est donc pas possible de visualiser leurs photos.

Avant d'aborder la question de la possibilité d'afficher des photos cachées, il convient d'examiner brièvement le sujet de leur masquage. Pour masquer vos photos, vous devrez suivre ces étapes :

• Vous devez vous rendre sur la page VK ;
• A gauche, retrouvez la ligne « Mes paramètres » et activez-la ;
• Ouvrez la sous-section « Confidentialité » ;
• apparaîtra paramètres spéciaux confidentialité. Ils peuvent être installés à votre discrétion.

Vous pouvez masquer non seulement des photos, mais également des enregistrements audio, des publications et des amis. Après avoir sélectionné la ligne indiquant qui peut voir la photo, vous devez déterminer qui sera autorisé à voir les photos personnelles. Ici, vous pouvez choisir une confidentialité totale en la définissant sur « uniquement moi » ou en autorisant la visualisation uniquement pour les amis. Les fonctions installées commencent à fonctionner immédiatement après que les réglages ont été effectués.

Comment afficher les photos enregistrées dans VK si elles sont masquées ?

Alors, comment voir les photos cachées des utilisateurs de VK ? Il n'y a pas de plan d'action officiel ici, puisque les développeurs du réseau social respectent le désir des utilisateurs de préserver leur vie privée. Si vous souhaitez afficher les photos VK cachées, vous devez suivre ces étapes :

1. Vous devez accéder au profil de l'utilisateur dont vous souhaitez voir la photo.
2. Cliquer sur espace libre avec un bouton de souris normal.
3. Sélectionnez la section « Affichage » source pages".
4. Appuyez sur Ctrl+F.
5. Dans la recherche, saisissez « albums », uniquement sans les guillemets.
6. Des nombres apparaissent dans la ligne après ce mot ; ils doivent être copiés. Il s'agit du code de la page.
7. Vous devez à nouveau accéder au profil de l’utilisateur et saisir « ?z=albums » dans la barre d’adresse après l’ID, également sans guillemets.
8. Le fragment précédemment copié est collé.
9. Appuyez sur Entrée et profitez de voir les photos cachées.

Important! Voir cette option photos fermées, si l'accès est fermé, pas tout à fait légal, l'administration VK ne l'approuve pas.

Pour cette raison, vous ne devriez pas être surpris si la possibilité d'afficher les photos enregistrées si elles sont masquées est fermée.

Site Web pour visualiser des photos cachées sur VKontakte

Cette méthode peut être utilisée dans le cas d'un fragment de code déjà reçu, qui peut être obtenu selon la méthode décrite ci-dessus. Pour afficher les photos cachées, vous devez revenir à page souhaitée, sur le site de réseau social, dans la barre de recherche du navigateur, saisissez un lien organisé par type - vk.com/id....., où après l'identifiant vient un numéro d'identification pages. Ensuite, placez le curseur à la toute fin de l'adresse et saisissez immédiatement signes spéciaux"?z=".

À la suite de telles actions, le message suivant apparaîtra dans la ligne du navigateur de travail : vk.com/id......?z=albums....., où les points de suspension sont l'ID utilisateur. Après avoir appuyé sur Entrée, toutes les photos de la personne d'intérêt s'ouvriront automatiquement à votre attention.

Conclusion

Présentés à votre attention sont tout à fait de manière simple possible sans problèmes particuliersétudier les photos des utilisateurs qui sont dans albums fermés. Le principal avantage de ces techniques est la possibilité de voir des photos dans les albums de personnes qui ne sont plus amis sur VK et de parfaits inconnus.

Difficile à trouver utilisateur d'ordinateur, qui n'aurait pas entendu ou n'était pas inscrit sur le réseau social VKontakte. La communication sur Internet est devenue si captivante les gens modernes que sans eux nous ne pouvons plus imaginer nos loisirs, et qui plus est, notre vie en général. Ayant votre propre page sur VK, vous remarquez involontairement les nombreuses nuances qu'elle cache cette ressource, cependant, tous ne sont pas faciles à gérer. Pour de nombreux utilisateurs, toutes ces subtilités et sagesses causent des difficultés, donc sans aide extérieure je ne peux pas m'en sortir ici.

Par exemple, de nombreuses questions sont posées sur la façon dont photos cachées En contact avec. Mais il arrive qu’on ait désespérément besoin de voir ses photos. Je ne parlerai pas du côté éthique de cette intention, mais je vais vous proposer une méthode qui pourra vous aider.

Comment masquer des photos

Avant d’entrer directement dans le sujet de cet article, je voudrais vous rappeler comment masquer vos photos. Je pense que de telles informations intéresseront beaucoup et que ceux qui les possèdent déjà pourront rafraîchir leurs connaissances. Donc ça se passe comme ça :

1. Connectez-vous à VKontakte après avoir saisi vos informations de connexion personnelles.
2. Sur le côté gauche de la fenêtre, recherchez la ligne « Mes paramètres » et cliquez dessus.
3. Ensuite, ouvrez l'onglet « Confidentialité ».
4. Il y aura une liste de paramètres que vous pourrez modifier à votre guise. Ici, vous pouvez également. Parmi eux, recherchez « Qui voit les photos sur lesquelles j'ai été tagué ». Il y a une liste déroulante à côté qui vous permet de sélectionner le cercle de personnes qui verront vos photos. Ainsi, vous pouvez sélectionner « Seulement les amis » ou même masquer les photos de tout le monde en cliquant sur « Seulement moi ».

Une fois ces réglages effectués, les modifications prennent effet immédiatement.

Comment afficher les photos cachées

Passons maintenant à la question principale : comment peut-on regarder des photos de personnes dont l’accès est restreint ? Il n'y a pas de réponse directe à cette question, car l'administration VK part du principe que la vie privée des autres doit être respectée. Cependant, si la situation est telle qu’il n’y a aucune option, je vous suggère d’utiliser cette option.

Je voudrais attirer votre attention sur le fait que cette méthode n'est pas approuvé par l'administration VK, il peut donc cesser de fonctionner à tout moment. Il n’y a pas de recette universelle, il ne faut donc pas trop espérer. En tout cas, je vous souhaite bonne chance !