Перейти к содержимому


Фотография

FAQ по Уязвимостям ВКонтакте. Социальная инженерия в деле


  • Авторизуйтесь для ответа в теме
В этой теме нет ответов

#1 Admin

Admin

    Эксперт. (ГЛАВА ФОРУМА)

  • Администраторы
  • 267 сообщений
  • ГородИнтернет сити

Отправлено 28 Февраль 2016 - 23:44

Давно обещал расписать тему про эффективный спам ВКонтакте. Но это чуть позже, сейчас о другом. ВКонтакте – не идеальная социальная сеть. Она не лишена дырок и уязвимостей. Используя простую логику, в народе называемую социальной инженерией, находим возможности, недоступные обычному пользователю ВКонтакте.ру. Начнём-с. Точнее продолжим старую тему про ВКонтакте.
 
1. Использование User API Vkontakte
 
User API – это специальная технология, благодаря которой функции ВКонтакте могут использоваться на других сайтах. Т.е. это некоторая интеграция ВКонтакте в остальную Сеть. Чем же это грозит нам? А тем, что сам ВКонтакте.ру и User API Vkontakte немного различны по функционалу. Сайт Durov.ru – творение разработчиков ВКонтакте, призванное показать всю мощь и возможности User API. Им и будем пользоваться.
 
– Узнаём кто добавил нас в Закладки
 
Для начала, необходимо, чтобы у Вас в настройках был включён сервис “Закладки” и хотя бы один человек был добавлен в Ваши закладки. Если это не так, то быстренько исправляем. Затем заходим на Дуров.ру. Справа вверху выбираем вкладку “Bookmarks”. И в самой нижней колонке видим “Who bookmarked me”. Это и есть люди, занёсшие Вас в закладки ВКонтакте.
 
– Смотрим скрытые фотографии
 
Способ основан на том, что User API отдаёт все фотографии, на которых отмечен человек. Не смотря на настройки их приватности. Т.е. не важно где они находятся (хоть в закрытой группе) – Вы всё равно увидите их, в т.ч. комментарии к фото. Для этого просто заходим на нужный профиль и выбираем “Photos with the user”. Думаем, используем по-разному.
 
– Другие мелкие уловки
 
Помимо всего вышеперечисленного, Дуров.ру также обладает и другими небольшими уловками, вроде просмотра части закрытого профиля (имя, семейное положение, дату рождения, крупной аватары, статусы), или добавления любых пользователей в Закладки, что раньше реализовывалось, но более трудозатратным методом, или просмотр всех статус пользователя, вне зависимости от их давности.
 
2. Уязвимости самого ВКонтакте.ру
 
– Режим “невидимки” ВКонтакте
 
Многих интересует есть ли ВКонтакте режим “невидимки”, Invisible. Не совсем так, но решение опять же существует. Дело в том, что статус пользователя обновляется только при обращении к profile.php. Таким образом, поставив закладку, к примеру, на “Мои Закладки”, а в дальнейшем не заходя на страницы профилей, можно оставаться для всех “не на сайте”. При этом можно свободно использовать те же Закладки, Сообщения, Группы, Новости, Встречи, Фотографии, Видео и т.д. Для удобства можно добавить себя в Закладки и следить за своим статусом на сайте.
 
– Узнаём кто написал мнение
 
Метод не новый, но всё же. Создаём любой новый профиль, включаем у него сервис “Предложения” в настройках. Затем в ответ на мнение отправляем ссылку вида “http://vkontakte.ru/....._id=ХХХ&dec=1”, где вместо ХХХ указываем ID нового пользователя. И как-нибудь заинтересовываем, чтобы анонимщик перешёл по этой ссылке. Если он это сделает, то он тут же окажется у нас в Предложениях на новом профиле.
 
Но не все уже попадают на такую фишку. Можно завуалировать ссылку, переделав её через tinyurl.com, либо какие-нибудь другие подобные сервисы. Результат не 100 %.
 
Подводя итог.
 
Социальная сеть – это всегда масштабная работа для программистов. А они – тоже люди. И если против технических взломов (хакинга) есть стандартные методы защиты, то от ошибок и просчётов не застрахован никто. Поэтому социальной инженерией тут может пользоваться любой. Пробуйте, экспериментируйте, используйте логику. И сами откроете много нового ;)

  • ApatrickEtede это нравится

С Уважением Администрация.Форум хакеров XAKERPRO.COM





Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных


Рейтинг@Mail.ru
Сертификат на никнейм XAKERPRO.COM, зарегистрирован на Константин Иванов.
Яндекс.Метрика Рейтинг@Mail.ru Analysis Счетчик ТИЦ Каталог сайтов OpenLinks.RU Каталог сайтов Всего.RU
Добавить Vkontakte Добавить в Facebook Добавить в Twitter Добавить в LiveJournal
.