Про вчерашний тест

топ 100 блогов vmenshov07.02.2014 «Что это было, вааще?» — примерно так отреагировали большинство коментаторов на вчерашний тест по поиску дыр в ЖЖ. Так же порадовали авторы бесплатных платных комментариев :)

Однако цель была вовсе не в том, чтобы потроллить топ и собрать два вагона каментов. Если бы дыра действительно была, то про топ вообще никто в течении недели не точно бы не вспомнил.

Анализируя запросы, посылаемые на сервер ЖЖ, при кликах на всякие кнопочки, я обнаружил, что кнопка «добавить в друзья» отправляет на сервер простейший GET-запрос, и все. Единственное, что в нем особенного, это параметр auth_token. Этот параметр содержится в коде любой страницы ЖЖ, и меняется довольно редко. Я проверил его под двумя разными аккаунтами, и мне показалось, что он одинаковый. Из чего я сделал предположение, что в пределах довольно длительного времени запрос на зафренд выглядит одинаково.

Теперь для гуманитариев. Если команда для добавления в друзья выглядит как простая ссылка и если она не меняется хотя бы минут 10, то можно довольно легко заставить пользователя ЖЖ пройти по ней, совершенно не спрашивая у него разрешения. Для этого достаточно вставить в пост или камент картинку 1x1 пиксель, а качестве адреса указать нужную нам ссылку. Картинку не видно, все пучком, а браузер запрос по нужному адресу и так пошлет. Изображение же загружать надо :)

Собственно, что я и сделал. Вставил в запись невидимую картинку с адресом зафренда. И если бы дыра действительно работала, то каждый кто увидел бы мой пост, сам того не желая, добавил бы меня в друзья. Последствия сами можете представить.

Однако в СУП'е программеры сидят грамотные. И оказалось, что тот самый мифический auth_token хоть и неменяется довольно долго, но является уникальным для каждого логина. Подделать его нельзя, и такой лайвхак не пройдет. В результате только я сам добавил себя во френды 21 раз, и, собственно, все.

Большое спасибо всем, кто согласился поучаствовать в эксперименте.

Для тех, у кого возникнет светлая мысль навставлять в пост картинок с сылками на свои или чужие посты. Разумеется, это волнующее умозаключение было тоже немедленно проверено. И оно также не работает. Видимо учет посещений ведется специальным кодом внутри страницы, который по картинкам не исполняется. И да, за это могут и аккаунт заблокировать. Так что не увлекайтесь.

Оставить комментарий

вольдемар 22.02.2019 22:12

https://bit.ly/2EpAShA
Система "МИЛЛИОН"
Гарантия возврата денег.
Архив записей в блогах:
Госдума в третьем чтении приняла законопроект “О внесении изменений в ...
Когда я увидела интервью отсидевшего 17 лет за похищение и постоянные изнасилования двух девчонок Виктора Мохова, у меня полезли глаза на лоб. Намного хуже мне стало, когда появились слухи, что Мохов, минуя определённое ему местожительство, якобы рванул в Москву -- участвовать уже в ...
ЧП произошло около 13:30 13 августа в торговом комплексе "Мега-мебель", что в Ленинском районе Саратова. Все пострадавшие в состоянии средней степени тяжести госпитализированы в городскую больницу.Издание "Взгляд-инфо" приводит подробности ...
  Я за советом и за помощью. Вот моя история. Влюбчивый был с первого класса.И кроме портфеля по башке- никаких премий мне никто не выписывал.Помню, в шестом классе, ребята придумали такую игру-сидя на уроке снимать с девчонки, что ...
Ощущения от полета еще не уложились в голове, поэтому пока одна фоточка. Подробности будут позже) ...