games2d.ru

Смотреть эротику фотки девочек

Был написан скрипт, который перебирал фотографии пользователя за определенный период и затем, через эту уязвимость получал прямые ссылки на изображения. Уязвимость на данный момент исправлена. Администрация ВКонтакте выплатила вознаграждение в 10к голосов. Коротко про эту функциональность: Последний пункт мне показался очень интересным, так как после добавления ссылки на фото я увидел его превьюшку и текст с типом добавленной сущности: При добавлении ссылки сервер парсит её, пытается выяснить, на какую сущность она ссылается и достает информацию об этом объекте из базы.

Как правило, при написании такого рода смотреть эротику фотки девочек с множеством условий вероятность того, что разработчик что-то забудет, очень высока. Поэтому я не смог себе позволить пройти мимо и решил потратить несколько минут, чтобы немного поэкспериментировать. В результате мне удалось кое-что найти. При добавлении ссылки на фотографию, заметку или смотреть эротику фотки девочек, к которым нет доступа, можно было получить немного приватной информации смотреть эротику фотки девочек объекте.

В случае с фото и видео — это маленькая x превьюшка, на которой довольно сложно что-либо разглядеть, у приватных заметок отображалось название. Через метод API fave. Так что, по сути, ничего серьезного. Я решил зайти на мобильную версию сайта, чтобы проверить, отображается ли там всё так же, как и в обычной версии.

Заглянув в код странички, я увидел это: Казалось бы, на этом можно было остановиться и написать разработчикам, но мне стало интересно, возможно ли, эксплуатируя эту уязвимость, получить доступ ко всем ну или загруженным в определенный период времени фотографиям юзера.

В голову пришла мысль о переборе id фотки, но я её почему-то тут же отверг как сумасшедшую. Я проверил связанные с фотографиями методы в API, посмотрел, как смотреть эротику фотки девочек работает с альбомами, смотреть эротику фотки девочек никаких утечек, которые могли бы мне помочь получить список с айдишками всех закрытых фоток юзера, найти не удалось.

Я уже хотел было бросить эту затею, но взглянув еще раз на смотреть эротику фотки девочек с фотографией, вдруг понял, что перебор таки был хорошей идеей. Как же формируется вторая часть? Увы, но, потратив два часа на эксперименты, я так этого и не понял. Видно, что значения скачут в зависимости от каких-то факторов количества серверов или новой логики? Но суть в том, что они достаточно малы особенно за последние года и очень легко вычислить диапазон id для желаемого периода времени.

Ниже я описал технику перебора, которая позволила мне проделать это за считанные минуты. Перебираем фотографии Можно было всё это добавлять руками через интерфейс или же написать скрипт, который добавляет по одной ссылке в закладки, но это было бы скучно и долго.

Ускоряем перебор x25 Чтобы хоть немного обойти ограничение в 3 запроса, я решил воспользоваться методом смотреть эротику фотки девочек. В одном вызове этого метода возможно 25 обращений к методам API. За прошлый год фотографии перебирались бы долго, но вот для коротких промежутков этот метод перебора уже был довольно-таки неплох. Так что ничего не мешает отправлять параллельно много запросов, но при этом используя в них токены от разных смотреть эротику фотки девочек. Для начала нужно было найти или создать нужное количество приложений.

Был написан скрипт, который ищет standalone приложения в заданном интервале идентификаторов приложений: Если приложение установило меньше 10 человек, то можно совершать 5 запросов в секунду, до — 8 запросов, до 1 — 20 запросов, больше 1 млн. Ок, приложения найдены, теперь им нужно дать разрешение к данным нашего пользователя и получить токены. Для авторизации пришлось использовать механизм Implicit Flow. Пришлось парсить урл авторизации из диалога OAuth и после редиректа вытаскивать токен.

Для работы данного класса нужны куки p,l login. Для распараллеливания всего этого дела было решено использовать гем Typhoeusкоторый отлично зарекомендовал себя в других задачах. Получился такой вот небольшой брутфорсер: Окончательная версия скрипта выглядит так: Опробовав скрипт выше на своем аккаунте, получил такие вот цифры без учета времени, потраченного на получение смотреть эротику фотки девочек