Non multa, sed multum.

Абсурдный Людь 3.0 aka Иващенко Владислав


деятельность: SEO, манимэйкинг,



 Давно обещал расписать тему про эффективный спам ВКонтакте. Но это чуть позже, сейчас о другом. ВКонтакте – не идеальная социальная сеть. Она не лишена дырок и уязвимостей. Используя простую логику, в народе называемую социальной инженерией, находим возможности, недоступные обычному пользователю ВКонтакте.ру. Начнём-с. Точнее продолжим старую тему про ВКонтакте.

vkontakte, вконтакте, социальная инженерия, взлом вконтакте, вконтакте взлом

 

1. Использование User API Vkontakte

User API – это специальная технология, благодаря которой функции ВКонтакте могут использоваться на других сайтах. Т.е. это некоторая интеграция ВКонтакте в остальную Сеть. Чем же это грозит нам? А тем, что сам ВКонтакте.ру и User API Vkontakte немного различны по функционалу. Сайт – творение разработчиков ВКонтакте, призванное показать всю мощь и возможности User API. Им и будем пользоваться.

– Узнаём кто добавил нас в Закладки

Для начала, необходимо, чтобы у Вас в настройках был включён сервис “Закладки” и хотя бы один человек был добавлен в Ваши закладки. Если это не так, то быстренько исправляем. Затем заходим на . Справа вверху выбираем вкладку “Bookmarks”. И в самой нижней колонке видим “Who bookmarked me”. Это и есть люди, занёсшие Вас в закладки ВКонтакте.

 

– Смотрим скрытые фотографии

Способ основан на том, что User API отдаёт все фотографии, на которых отмечен человек. Не смотря на настройки их приватности. Т.е. не важно где они находятся (хоть в закрытой группе) – Вы всё равно увидите их, в т.ч. комментарии к фото. Для этого просто заходим на нужный профиль и выбираем “Photos with the user”. Думаем, используем по-разному.

 

– Другие мелкие уловки

Помимо всего вышеперечисленного, Дуров.ру также обладает и другими небольшими уловками, вроде просмотра части закрытого профиля (имя, семейное положение, дату рождения, крупной аватары, статусы), или добавления любых пользователей в Закладки, что раньше реализовывалось, но более трудозатратным методом, или просмотр всех статус пользователя, вне зависимости от их давности.

 

 

2. Уязвимости самого ВКонтакте.ру

– Режим “невидимки” ВКонтакте

Многих интересует есть ли ВКонтакте режим “невидимки”, Invisible. Не совсем так, но решение опять же существует. Дело в том, что статус пользователя обновляется только при обращении к profile.php. Таким образом, поставив закладку, к примеру, на “Мои Закладки”, а в дальнейшем не заходя на страницы профилей, можно оставаться для всех “не на сайте”. При этом можно свободно использовать те же Закладки, Сообщения, Группы, Новости, Встречи, Фотографии, Видео и т.д. Для удобства можно добавить себя в Закладки и следить за своим статусом на сайте.

 

– Узнаём кто написал мнение

Метод не новый, но всё же. Создаём любой новый профиль, включаем у него сервис “Предложения” в настройках. Затем в ответ на мнение отправляем ссылку вида “http://vkontakte.ru/matches.php?act=a_sent&to_id=ХХХ&dec=1”, где вместо ХХХ указываем ID нового пользователя. И как-нибудь заинтересовываем, чтобы анонимщик перешёл по этой ссылке. Если он это сделает, то он тут же окажется у нас в Предложениях на новом профиле.

Но не все уже попадают на такую фишку. Можно завуалировать ссылку, переделав её через tinyurl.com, либо какие-нибудь другие подобные сервисы. Результат не 100 %.

 

 

Подводя итог.

Социальная сеть – это всегда масштабная работа для программистов. А они – тоже люди. И если против технических взломов (хакинга) есть стандартные методы защиты, то от ошибок и просчётов не застрахован никто. Поэтому социальной инженерией тут может пользоваться любой. Пробуйте, экспериментируйте, используйте логику. И сами откроете много нового ;)

Лучший комментатор:

* - каждый раз в конце поста указывается такая ссылка.
Её получает тот, кто оставит лучший комментарий с момента написания последнего поста.

—-

Реклама?

  • ! Всё ещё боишься кризис?
  • сервер

Popularity: 20% []


Сейчас такое понятие, как “социальная инженерия” приобретает всё большую узнаваемость. В этом посте я попробую рассказать о социальной инженерии в целом и моём личном опыте в этом русле.

Говоря простым языком, социальная инженерия – это хакинг без взлома. Т.е. цель социальной инженерии – получить доступ к запретной информации или выполнить какие-либо запрещённые действия в системе не прибегая к техническим уловкам, тонкостям, в общем, всяческим специализированным знаниям.

социальная инженерия, спам

Я бы разделил социальную инженерию на два вида:

1. Работа с людьми

Этот вид социальной инженерии появился очень давно и всем известен. Это, в принципе, мошенничество, у которого раньше не было отдельного названия.

Так, человек получает информацию, например, путём сбора информации о служащих объекта атаки, с помощью обычного телефонного звонка или путём проникновения в организацию под видом ее служащего.

Ещё один распространённый пример: рассылка писем якобы от администрации какого-либо сайта. Часто можно видеть письма о том, что была утеряна или повреждена база данных клиентов или пользователей, поэтому срочно необходимо, чтобы Вы выслали свой логин и пароль администратору. На самом же деле это простой обман, а обратный адрес – адрес злоумышленника.

Т.е. социальная инженерия при работе с людьми – это чистая психология. Нам же пока более интересен второй вариант.

2. Работа с ПО (человеческий фактор)

Социальная инженерия при работе с программным обеспечением – это поиск ошибки программистов. Они же тоже люди?! А просчитать всё возможно очень редко. Конечно, существуют бета-тестеры для поиска всевозможных социальных дыр и недоработок, но и они находят не всё.

Наглядный пример – ВКонтакте.ру. Ещё пару месяцев назад “в Контакте” можно было без особых проблем удалить своего друга хоть со всех фотографий, на которых он помечен. Достаточно было иметь в друзьях того, кого собираетесь удалять с фото, и того, кто это фото опубликовал.

Нужно было просто зайти на фотографию, отметить человека, которого хотели с этой фотографии удалить (т.е. отметить его второй раз, при этом метка переносилась со старого места – в новое), а затем удалить уже вашу метку. Всё это занимало пару секунд.

Конечно, это всё баловство, но бывают и такие случаи, когда найденную “дыру” можно очень хорошо монетизировать. Так, в одном из следующих постов я расскажу, как раньше поднимал тысячи и десятки тысяч хостов в сутки с того же VKontakte.ru. Опять же за счёт плохой продуманности интерфейса и безопасности.

 

Подводя итог. Социальная инженерия – очень интересная штука. С развитием технологий и интернетизацией общества она принимает всё большие масштабы. Без бета-тестирования уже не обходится ни один приличный Интернет-проект. А в таких областях, как спам – это новое решение новых проблем.

 

Новое на проектах:

 

Постовой?!

-
-

 

—-

Реклама: ; ; Охранная ; ; .

Реклама в этом блоге доступна и Вам!

Popularity: 15% []


1 страница из 11