Unity Ads для арбитража: все об in-app трафике, настройке и работе с high-risk вертикалями Главный тренер сборной России по футболу Фабио Капелло, по всей видимости, будет отправлен в отставку 24 июня. Соответствующее решение может быть принято на заседании исполнительного комитета Российского футбольного союза. Этого требуют формальности, но политическое решение вопроса с Капе ...
Про вчерашний тест
vmenshov — 07.02.2014
«Что это было, вааще?» — примерно так отреагировали большинство
коментаторов на вчерашний тест по
поиску дыр в ЖЖ. Так же порадовали авторы бесплатных платных
комментариев :)Однако цель была вовсе не в том, чтобы потроллить топ и собрать два вагона каментов. Если бы дыра действительно была, то про топ вообще никто в течении недели не точно бы не вспомнил.
Анализируя запросы, посылаемые на сервер ЖЖ, при кликах на всякие кнопочки, я обнаружил, что кнопка «добавить в друзья» отправляет на сервер простейший GET-запрос, и все. Единственное, что в нем особенного, это параметр
auth_token. Этот параметр
содержится в коде любой страницы ЖЖ, и меняется довольно редко. Я
проверил его под двумя разными аккаунтами, и мне показалось, что он
одинаковый. Из чего я сделал предположение, что в пределах довольно
длительного времени запрос на зафренд выглядит одинаково.Теперь для гуманитариев. Если команда для добавления в друзья выглядит как простая ссылка и если она не меняется хотя бы минут 10, то можно довольно легко заставить пользователя ЖЖ пройти по ней, совершенно не спрашивая у него разрешения. Для этого достаточно вставить в пост или камент картинку 1x1 пиксель, а качестве адреса указать нужную нам ссылку. Картинку не видно, все пучком, а браузер запрос по нужному адресу и так пошлет. Изображение же загружать надо :)
Собственно, что я и сделал. Вставил в запись невидимую картинку с адресом зафренда. И если бы дыра действительно работала, то каждый кто увидел бы мой пост, сам того не желая, добавил бы меня в друзья. Последствия сами можете представить.
Однако в СУП'е программеры сидят грамотные. И оказалось, что тот самый мифический
auth_token хоть и неменяется довольно
долго, но является уникальным для каждого логина. Подделать его
нельзя, и такой лайвхак не пройдет. В результате только я сам
добавил себя во френды 21 раз, и, собственно, все.Большое спасибо всем, кто согласился поучаствовать в эксперименте.
Для тех, у кого возникнет светлая мысль навставлять в пост картинок с сылками на свои или чужие посты. Разумеется, это волнующее умозаключение было тоже немедленно проверено. И оно также не работает. Видимо учет посещений ведется специальным кодом внутри страницы, который по картинкам не исполняется. И да, за это могут и аккаунт заблокировать. Так что не увлекайтесь.
Оставить комментарий
Популярные посты:
Архив записей в блогах:
...а именно — Красногорска, на снегу оставили надпись «Россия победит». Они сделали это в поддержку бойцов СВО.
...
Хух-Хото — небольшой по китайским меркам (всего около 2 млн человек) городок на севере страны, столица автономного региона Внутренняя Монголия. Все спорят, как переводится с монгольского его название: правильнее было бы "синий город" или "голубой город", но его чаще называют "зелёны ...
здесь . Какие вы считаете самыми красивыми, оригинальными, интересными, вызывающими восхищение именно у вас? Выберите и укажите их номера в своем комментарии к этой записи. ВАЖНО! Требуется выбрать не менее 5 и не более 20 фотоисторий из этой ...
14 февраля 1956 года в Москве открылся XX съезд КПСС. Он стал поворотным пунктом в развитии СССР, партии и всего международного коммунистического движения. В последний день, уже после завершения открытых заседаний, первый секретарь ЦК КПСС Никита Хрущев прочитал «секретный» доклад с ...
https://bit.ly/2EpAShA
Система "МИЛЛИОН"
Гарантия возврата денег.