?

Log in

No account? Create an account
official

Заводы стоят, одни мордоляпы в стране!


Previous Entry Share Next Entry
winter kaktus

Про вчерашний тест

«Что это было, вааще?» — примерно так отреагировали большинство коментаторов на вчерашний тест по поиску дыр в ЖЖ. Так же порадовали авторы бесплатных платных комментариев :)

Однако цель была вовсе не в том, чтобы потроллить топ и собрать два вагона каментов. Если бы дыра действительно была, то про топ вообще никто в течении недели не точно бы не вспомнил.

Анализируя запросы, посылаемые на сервер ЖЖ, при кликах на всякие кнопочки, я обнаружил, что кнопка «добавить в друзья» отправляет на сервер простейший GET-запрос, и все. Единственное, что в нем особенного, это параметр auth_token. Этот параметр содержится в коде любой страницы ЖЖ, и меняется довольно редко. Я проверил его под двумя разными аккаунтами, и мне показалось, что он одинаковый. Из чего я сделал предположение, что в пределах довольно длительного времени запрос на зафренд выглядит одинаково.

Теперь для гуманитариев. Если команда для добавления в друзья выглядит как простая ссылка и если она не меняется хотя бы минут 10, то можно довольно легко заставить пользователя ЖЖ пройти по ней, совершенно не спрашивая у него разрешения. Для этого достаточно вставить в пост или камент картинку 1x1 пиксель, а качестве адреса указать нужную нам ссылку. Картинку не видно, все пучком, а браузер запрос по нужному адресу и так пошлет. Изображение же загружать надо :)

Собственно, что я и сделал. Вставил в запись невидимую картинку с адресом зафренда. И если бы дыра действительно работала, то каждый кто увидел бы мой пост, сам того не желая, добавил бы меня в друзья. Последствия сами можете представить.

Однако в СУП'е программеры сидят грамотные. И оказалось, что тот самый мифический auth_token хоть и неменяется довольно долго, но является уникальным для каждого логина. Подделать его нельзя, и такой лайвхак не пройдет. В результате только я сам добавил себя во френды 21 раз, и, собственно, все.

Большое спасибо всем, кто согласился поучаствовать в эксперименте.

Для тех, у кого возникнет светлая мысль навставлять в пост картинок с сылками на свои или чужие посты. Разумеется, это волнующее умозаключение было тоже немедленно проверено. И оно также не работает. Видимо учет посещений ведется специальным кодом внутри страницы, который по картинкам не исполняется. И да, за это могут и аккаунт заблокировать. Так что не увлекайтесь.

shaltay_boltay February 7th, 2014
очень интересно. не знал об этом

shaltay_boltay February 7th, 2014
хе хе

timon_timonich February 7th, 2014
Вот ты заморочился, мог бы у меня спросить :))

vmenshov February 7th, 2014
Ну я видимо не из того html-я второй ауф токен скопировал. Смотрю - одинаковые. Не может быть! подумал я. И решил проверить.

leghe February 7th, 2014
Василий! Ты все же...

vmenshov February 7th, 2014
все же что?

simart February 7th, 2014
вчера комменты почитал - ничего не понял, не комментировал.
а вот сегодня - хорошо! сегодня чукча всё понял! спасибы!!!

domashnyaya February 7th, 2014
а я тебя давно уже зафрендила и без дырки

ira_plyushkina February 7th, 2014
А я что-то нет. Думаешь, надо ? =)))

brenik February 7th, 2014
старо как мир.
раньше частень народ замечал как очередное продвижение супа вдруг оказывалось в друзьях ни с того ни с сего у толпы зевак.


vmenshov February 7th, 2014
Я думаю что такой дыры и не было никогда.

morena_morana February 7th, 2014
дыр не нашли, зато весело) Надо тоже сделать пост на свободную тему))

vmenshov February 7th, 2014
Давай :) Пост про школьника, кстати, был очень крут.

tritankista February 7th, 2014
Ну ты совсем за идиотов программеров держишь )

vmenshov February 7th, 2014
Жень, я ж говорю, скопировал с двух логинов ауф токен. И он совпал. Скопировал, видимо два раза из одного и того же места.

Но ты представляешь мое удивление?

morseanen February 7th, 2014
Нихера не понял, но бесплатный комент оставлю:-)

doner February 7th, 2014
Интересно! Мозг!

gold_manaa February 7th, 2014
А как сам СУП относится к такого рода экспериментам?

vmenshov February 7th, 2014
С подозрением.

velkoldin February 7th, 2014
>только я сам добавил себя во френды 21 раз

ну тож ведь результат, Вася? )))

vmenshov February 7th, 2014
Ага, и график прифренда солидно выглядит :)

ira_plyushkina February 7th, 2014
Эм... вот же кому-то нечем заняться... Еще ж уйму жетонов в это влил же. =)

vmenshov February 7th, 2014
Да ладно уйму, 50 баксов всего. Ужин в кафе, откуда я писал пост, обошелся дороже :)

alelikand February 7th, 2014
то есть, мне тебя второй раз зафрендить не получилось?

vmenshov February 7th, 2014
Неа, никому неполучилось :)

acer_leaf February 7th, 2014
Забавно)