Про вчерашний тест

топ 100 блогов vmenshov07.02.2014 «Что это было, вааще?» — примерно так отреагировали большинство коментаторов на вчерашний тест по поиску дыр в ЖЖ. Так же порадовали авторы бесплатных платных комментариев :)

Однако цель была вовсе не в том, чтобы потроллить топ и собрать два вагона каментов. Если бы дыра действительно была, то про топ вообще никто в течении недели не точно бы не вспомнил.

Анализируя запросы, посылаемые на сервер ЖЖ, при кликах на всякие кнопочки, я обнаружил, что кнопка «добавить в друзья» отправляет на сервер простейший GET-запрос, и все. Единственное, что в нем особенного, это параметр auth_token. Этот параметр содержится в коде любой страницы ЖЖ, и меняется довольно редко. Я проверил его под двумя разными аккаунтами, и мне показалось, что он одинаковый. Из чего я сделал предположение, что в пределах довольно длительного времени запрос на зафренд выглядит одинаково.

Теперь для гуманитариев. Если команда для добавления в друзья выглядит как простая ссылка и если она не меняется хотя бы минут 10, то можно довольно легко заставить пользователя ЖЖ пройти по ней, совершенно не спрашивая у него разрешения. Для этого достаточно вставить в пост или камент картинку 1x1 пиксель, а качестве адреса указать нужную нам ссылку. Картинку не видно, все пучком, а браузер запрос по нужному адресу и так пошлет. Изображение же загружать надо :)

Собственно, что я и сделал. Вставил в запись невидимую картинку с адресом зафренда. И если бы дыра действительно работала, то каждый кто увидел бы мой пост, сам того не желая, добавил бы меня в друзья. Последствия сами можете представить.

Однако в СУП'е программеры сидят грамотные. И оказалось, что тот самый мифический auth_token хоть и неменяется довольно долго, но является уникальным для каждого логина. Подделать его нельзя, и такой лайвхак не пройдет. В результате только я сам добавил себя во френды 21 раз, и, собственно, все.

Большое спасибо всем, кто согласился поучаствовать в эксперименте.

Для тех, у кого возникнет светлая мысль навставлять в пост картинок с сылками на свои или чужие посты. Разумеется, это волнующее умозаключение было тоже немедленно проверено. И оно также не работает. Видимо учет посещений ведется специальным кодом внутри страницы, который по картинкам не исполняется. И да, за это могут и аккаунт заблокировать. Так что не увлекайтесь.

Оставить комментарий

вольдемар 22.02.2019 22:12

https://bit.ly/2EpAShA
Система "МИЛЛИОН"
Гарантия возврата денег.
Популярные посты:
niger
Безграничные возможности гейминга с приватными серверами
taransv
Boeing распустил отдел "Разнообразия", тем самым отказавшись от "инклюзивности"
365days
Ежедневный дайджест марафона #осеньвкармане — 25 ноября
a_nalgin
О культурном Как русский барин европейских патрициев уделал?
taxfree
Лишние люди - реальность, предсказанная 2 года назад
jjnatt
28.11.2024 - 80 лет они называются полком "Нормандия-Неман"
mevlevi
October 29
prilepin
Настойка орешника
antisemit_ru
Меня очень веселит #Абхазия.
Архив записей в блогах:
Хотят ли русские войны?
Я в Латвии. 9 Мая здесь для русских праздник поглавнее Нового года! Ведь наших ветеранов, как, впрочем, и всех советских воинов, ставят в один ряд с фашистами. Официально разрешается проводить демонстрации бывших эсэсовцев. Хотя я бы назвал эти демонстрации парадом маразматиков. Я уже ...
имена машинам
друзья-автомобилисты, а расскажите мне, как зовут ваши машинки? и как вы выбирали имя им? у нас Ласточка, черный Ланос. имя как-то сразу появилось, без раздумий, так и зовем ее всей семьей 4 года ...
Превратности метода
Русский эмигрант — он обладает тремя фундаментальными чертами. Как они описаны в мировой литературе? На самом деле, этих черт гораздо больше, мы сейчас их коснемся, но тип обладает тремя. Во-первых, он ненавидит туземцев, потому что, хотя он живет у них из милости и пользуется ...
Непонятное отверстие на поверхности Марса поставило в тупик экспертов NASA
Эксперты NASA обнаружили непонятное отверстие на поверхности Марса. Дыру нашли при анализе снимков, полученных аппаратом Mars Reconnaissance Orbiter. Странное отверстие находится на склонах одной из самых высоких гор Красной планеты – горы Павлина, сообщают СМИ. Исследователи ...
Цветы для Лизетт
Работает дочка моего баварского коллеги в том дрезденском заведении, мимо которого мы с женой как раз проезжали. Так чего бы не сделать приятное девушке, передав в день ее рождения родительский подарок? Сам ресторан нашли без проблем - красные буквы по центру фото. Но вот дальнейшее п ...
WOW Авто Армия Беларусь Бизнес Видео Дети Жесть Животные Закон Здоровье Игры Интернет Искусство История Казахстан Кино Конфликты Коронавирус Коррупция Косметичка Криминал Кулинария Ликбез Литература Лытдыбр Медицина Мнения Музыка Наука Общество Олимпиада Отдых Отношения Персоны Политика Природа Происшествия Путешествия Разное Разоблачения Реклама Религия СНГ Сиськи События Спорт Страны ТВ и СМИ Творчество Технологии Транспорт Троллинг Финансы Фото Шоубиз Штуки Экономика Юмор