Василий Меньшов (vmenshov) wrote,
Василий Меньшов
vmenshov

Про вчерашний тест

«Что это было, вааще?» — примерно так отреагировали большинство коментаторов на вчерашний тест по поиску дыр в ЖЖ. Так же порадовали авторы бесплатных платных комментариев :)

Однако цель была вовсе не в том, чтобы потроллить топ и собрать два вагона каментов. Если бы дыра действительно была, то про топ вообще никто в течении недели не точно бы не вспомнил.

Анализируя запросы, посылаемые на сервер ЖЖ, при кликах на всякие кнопочки, я обнаружил, что кнопка «добавить в друзья» отправляет на сервер простейший GET-запрос, и все. Единственное, что в нем особенного, это параметр auth_token. Этот параметр содержится в коде любой страницы ЖЖ, и меняется довольно редко. Я проверил его под двумя разными аккаунтами, и мне показалось, что он одинаковый. Из чего я сделал предположение, что в пределах довольно длительного времени запрос на зафренд выглядит одинаково.

Теперь для гуманитариев. Если команда для добавления в друзья выглядит как простая ссылка и если она не меняется хотя бы минут 10, то можно довольно легко заставить пользователя ЖЖ пройти по ней, совершенно не спрашивая у него разрешения. Для этого достаточно вставить в пост или камент картинку 1x1 пиксель, а качестве адреса указать нужную нам ссылку. Картинку не видно, все пучком, а браузер запрос по нужному адресу и так пошлет. Изображение же загружать надо :)

Собственно, что я и сделал. Вставил в запись невидимую картинку с адресом зафренда. И если бы дыра действительно работала, то каждый кто увидел бы мой пост, сам того не желая, добавил бы меня в друзья. Последствия сами можете представить.

Однако в СУП'е программеры сидят грамотные. И оказалось, что тот самый мифический auth_token хоть и неменяется довольно долго, но является уникальным для каждого логина. Подделать его нельзя, и такой лайвхак не пройдет. В результате только я сам добавил себя во френды 21 раз, и, собственно, все.

Большое спасибо всем, кто согласился поучаствовать в эксперименте.

Для тех, у кого возникнет светлая мысль навставлять в пост картинок с сылками на свои или чужие посты. Разумеется, это волнующее умозаключение было тоже немедленно проверено. И оно также не работает. Видимо учет посещений ведется специальным кодом внутри страницы, который по картинкам не исполняется. И да, за это могут и аккаунт заблокировать. Так что не увлекайтесь.
Subscribe
Buy for 100 tokens
Buy promo for minimal price.
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 61 comments
Previous
← Ctrl ← Alt
Next
Ctrl → Alt →
Previous
← Ctrl ← Alt
Next
Ctrl → Alt →