Получение гемблинг-лицензии на Коморских Островах: преимущества, особенности и требования 
"Художник так видит" или шушпанцеры в советском искусстве. 
10 блюд русской кухни, которые были незаслуженно забыты 
День в истории. Последний безработный в СССР 
Опрос показывает, что ХАМАС сам по себе не является проблемой. Палестинцы хотят 
Без названия 
Сразу ТРИ ракеты Искандер посетили наемников и западных специалистов из Франции 
Уволен 
Россия обвинила США в отказе назвать истинных заказчиков теракта в «Крокусе» Вчера в Музее изобразительных искусств открылась выставка «Лучшие фотографии России – 2012» Я оказалась в музее чуть раньше назначенного времени открытия и смогла посмотреть выставку спокойно, почти в одиночестве: Едва успела. Вскоре залы ...
Про вчерашний тест
vmenshov — 07.02.2014
«Что это было, вааще?» — примерно так отреагировали большинство
коментаторов на вчерашний тест по
поиску дыр в ЖЖ. Так же порадовали авторы бесплатных платных
комментариев :)Однако цель была вовсе не в том, чтобы потроллить топ и собрать два вагона каментов. Если бы дыра действительно была, то про топ вообще никто в течении недели не точно бы не вспомнил.
Анализируя запросы, посылаемые на сервер ЖЖ, при кликах на всякие кнопочки, я обнаружил, что кнопка «добавить в друзья» отправляет на сервер простейший GET-запрос, и все. Единственное, что в нем особенного, это параметр
auth_token. Этот параметр
содержится в коде любой страницы ЖЖ, и меняется довольно редко. Я
проверил его под двумя разными аккаунтами, и мне показалось, что он
одинаковый. Из чего я сделал предположение, что в пределах довольно
длительного времени запрос на зафренд выглядит одинаково.Теперь для гуманитариев. Если команда для добавления в друзья выглядит как простая ссылка и если она не меняется хотя бы минут 10, то можно довольно легко заставить пользователя ЖЖ пройти по ней, совершенно не спрашивая у него разрешения. Для этого достаточно вставить в пост или камент картинку 1x1 пиксель, а качестве адреса указать нужную нам ссылку. Картинку не видно, все пучком, а браузер запрос по нужному адресу и так пошлет. Изображение же загружать надо :)
Собственно, что я и сделал. Вставил в запись невидимую картинку с адресом зафренда. И если бы дыра действительно работала, то каждый кто увидел бы мой пост, сам того не желая, добавил бы меня в друзья. Последствия сами можете представить.
Однако в СУП'е программеры сидят грамотные. И оказалось, что тот самый мифический
auth_token хоть и неменяется довольно
долго, но является уникальным для каждого логина. Подделать его
нельзя, и такой лайвхак не пройдет. В результате только я сам
добавил себя во френды 21 раз, и, собственно, все.Большое спасибо всем, кто согласился поучаствовать в эксперименте.
Для тех, у кого возникнет светлая мысль навставлять в пост картинок с сылками на свои или чужие посты. Разумеется, это волнующее умозаключение было тоже немедленно проверено. И оно также не работает. Видимо учет посещений ведется специальным кодом внутри страницы, который по картинкам не исполняется. И да, за это могут и аккаунт заблокировать. Так что не увлекайтесь.
Оставить комментарий
Популярные посты:
Архив записей в блогах:
П.А. Федотов (1815–1852 гг.) — русский живописец и график, академик живописи, один из крупнейших представителей русского романтизма, родоначальник критического реализма в русской живописи.
Россия 2015г. КПД ...
Я его по старинке называю Сергей Быстров. Очередной НАСТОЯЩИЙ и "старый" ...
Погода, в этом году, не то, чтобы странная, но, какая то не такая. Растения реагируют плохо. К середине июля, обычно вовсю цветут гортензии и флоксы. Сейчас же распустились только древовидные гортензии, а метельчатые или набирают бутоны , или, в принципе, цвести не собираются. ...
http://staryiy.livejournal.com/642146.html СК любой IP разные Комменты должны всегда быть по теме поста. Коммент не должен быть короче 20 знаков. (п. 10 Правил СОО) стоп, ...
https://bit.ly/2EpAShA
Система "МИЛЛИОН"
Гарантия возврата денег.