February 7th, 2014

winter kaktus

Про вчерашний тест

«Что это было, вааще?» — примерно так отреагировали большинство коментаторов на вчерашний тест по поиску дыр в ЖЖ. Так же порадовали авторы бесплатных платных комментариев :)

Однако цель была вовсе не в том, чтобы потроллить топ и собрать два вагона каментов. Если бы дыра действительно была, то про топ вообще никто в течении недели не точно бы не вспомнил.

Анализируя запросы, посылаемые на сервер ЖЖ, при кликах на всякие кнопочки, я обнаружил, что кнопка «добавить в друзья» отправляет на сервер простейший GET-запрос, и все. Единственное, что в нем особенного, это параметр auth_token. Этот параметр содержится в коде любой страницы ЖЖ, и меняется довольно редко. Я проверил его под двумя разными аккаунтами, и мне показалось, что он одинаковый. Из чего я сделал предположение, что в пределах довольно длительного времени запрос на зафренд выглядит одинаково.

Теперь для гуманитариев. Если команда для добавления в друзья выглядит как простая ссылка и если она не меняется хотя бы минут 10, то можно довольно легко заставить пользователя ЖЖ пройти по ней, совершенно не спрашивая у него разрешения. Для этого достаточно вставить в пост или камент картинку 1x1 пиксель, а качестве адреса указать нужную нам ссылку. Картинку не видно, все пучком, а браузер запрос по нужному адресу и так пошлет. Изображение же загружать надо :)

Собственно, что я и сделал. Вставил в запись невидимую картинку с адресом зафренда. И если бы дыра действительно работала, то каждый кто увидел бы мой пост, сам того не желая, добавил бы меня в друзья. Последствия сами можете представить.

Однако в СУП'е программеры сидят грамотные. И оказалось, что тот самый мифический auth_token хоть и неменяется довольно долго, но является уникальным для каждого логина. Подделать его нельзя, и такой лайвхак не пройдет. В результате только я сам добавил себя во френды 21 раз, и, собственно, все.

Большое спасибо всем, кто согласился поучаствовать в эксперименте.

Для тех, у кого возникнет светлая мысль навставлять в пост картинок с сылками на свои или чужие посты. Разумеется, это волнующее умозаключение было тоже немедленно проверено. И оно также не работает. Видимо учет посещений ведется специальным кодом внутри страницы, который по картинкам не исполняется. И да, за это могут и аккаунт заблокировать. Так что не увлекайтесь.
Buy for 100 tokens
Buy promo for minimal price.
winter kaktus

Про топ ЖЖ

Братья блоггеры, вам самим не надоело?

Школьник кого-то там пострелял. В топе на три дня одни школьники-убийцы, запретить короткоствол, куда катиться мир, все разворовали, образование никудышное, все плохо, ад, пора валить, все умрем.

Кто-то там составил какой-то список памятников. Как посмели, святое, не тронь, сами уроды. Вон у вас тоже с дырой. Других тем нет.

Олимпиада. Разворовали, недостроили, угробили природу, все плохо, ад, треш, угар, да сами вы агенты госдепа, все зашибись, толчки разделили, кровать мягкая. И снова все засрано до последнего поста.

Да е-мое, вы там что, с катушек что ли все послетали? Ну сколько можно мусолить одно и тоже? Да задолбало это все уже выше крыши.

А больше всех затрахали разоблачители Навального. Ну они вообще из топа не вылазят, и даже мохнаток уже используют.

Что, нет других тем? Не можете больше ни о чем написать? Ну давайте сделаем еще одну рубрику "ебучие борцы за хуету с хуетой" и будем туда все ваши посты сливать.

Лента.ру, чай не закрыта. Мы, блин, в курсе. Уймитесь же наконец!

UPD. Понятно, что взывать к совести — дело малоэффективное. Поэтому. Чуваки. СК от этого не вырастет. За этот кал вас никто не зафрендит. А вот в топе забанят. И поймите, всем насрать на ваши потуги. Вы никак не повлияете на общественное мнение. Это бесполезная трата времени и денег.