Non multa, sed multum.

Абсурдный Людь 3.0 aka Иващенко Владислав


деятельность: SEO, манимэйкинг,



 Давно обещал расписать тему про эффективный спам ВКонтакте. Но это чуть позже, сейчас о другом. ВКонтакте – не идеальная социальная сеть. Она не лишена дырок и уязвимостей. Используя простую логику, в народе называемую социальной инженерией, находим возможности, недоступные обычному пользователю ВКонтакте.ру. Начнём-с. Точнее продолжим старую тему про ВКонтакте.

vkontakte, вконтакте, социальная инженерия, взлом вконтакте, вконтакте взлом

 

1. Использование User API Vkontakte

User API – это специальная технология, благодаря которой функции ВКонтакте могут использоваться на других сайтах. Т.е. это некоторая интеграция ВКонтакте в остальную Сеть. Чем же это грозит нам? А тем, что сам ВКонтакте.ру и User API Vkontakte немного различны по функционалу. Сайт – творение разработчиков ВКонтакте, призванное показать всю мощь и возможности User API. Им и будем пользоваться.

– Узнаём кто добавил нас в Закладки

Для начала, необходимо, чтобы у Вас в настройках был включён сервис “Закладки” и хотя бы один человек был добавлен в Ваши закладки. Если это не так, то быстренько исправляем. Затем заходим на . Справа вверху выбираем вкладку “Bookmarks”. И в самой нижней колонке видим “Who bookmarked me”. Это и есть люди, занёсшие Вас в закладки ВКонтакте.

 

– Смотрим скрытые фотографии

Способ основан на том, что User API отдаёт все фотографии, на которых отмечен человек. Не смотря на настройки их приватности. Т.е. не важно где они находятся (хоть в закрытой группе) – Вы всё равно увидите их, в т.ч. комментарии к фото. Для этого просто заходим на нужный профиль и выбираем “Photos with the user”. Думаем, используем по-разному.

 

– Другие мелкие уловки

Помимо всего вышеперечисленного, Дуров.ру также обладает и другими небольшими уловками, вроде просмотра части закрытого профиля (имя, семейное положение, дату рождения, крупной аватары, статусы), или добавления любых пользователей в Закладки, что раньше реализовывалось, но более трудозатратным методом, или просмотр всех статус пользователя, вне зависимости от их давности.

 

 

2. Уязвимости самого ВКонтакте.ру

– Режим “невидимки” ВКонтакте

Многих интересует есть ли ВКонтакте режим “невидимки”, Invisible. Не совсем так, но решение опять же существует. Дело в том, что статус пользователя обновляется только при обращении к profile.php. Таким образом, поставив закладку, к примеру, на “Мои Закладки”, а в дальнейшем не заходя на страницы профилей, можно оставаться для всех “не на сайте”. При этом можно свободно использовать те же Закладки, Сообщения, Группы, Новости, Встречи, Фотографии, Видео и т.д. Для удобства можно добавить себя в Закладки и следить за своим статусом на сайте.

 

– Узнаём кто написал мнение

Метод не новый, но всё же. Создаём любой новый профиль, включаем у него сервис “Предложения” в настройках. Затем в ответ на мнение отправляем ссылку вида “http://vkontakte.ru/matches.php?act=a_sent&to_id=ХХХ&dec=1”, где вместо ХХХ указываем ID нового пользователя. И как-нибудь заинтересовываем, чтобы анонимщик перешёл по этой ссылке. Если он это сделает, то он тут же окажется у нас в Предложениях на новом профиле.

Но не все уже попадают на такую фишку. Можно завуалировать ссылку, переделав её через tinyurl.com, либо какие-нибудь другие подобные сервисы. Результат не 100 %.

 

 

Подводя итог.

Социальная сеть – это всегда масштабная работа для программистов. А они – тоже люди. И если против технических взломов (хакинга) есть стандартные методы защиты, то от ошибок и просчётов не застрахован никто. Поэтому социальной инженерией тут может пользоваться любой. Пробуйте, экспериментируйте, используйте логику. И сами откроете много нового ;)

Лучший комментатор:

* - каждый раз в конце поста указывается такая ссылка.
Её получает тот, кто оставит лучший комментарий с момента написания последнего поста.

—-

Реклама?

  • ! Всё ещё боишься кризис?
  • сервер

Popularity: 20% []


Сейчас такое понятие, как “социальная инженерия” приобретает всё большую узнаваемость. В этом посте я попробую рассказать о социальной инженерии в целом и моём личном опыте в этом русле.

Говоря простым языком, социальная инженерия – это хакинг без взлома. Т.е. цель социальной инженерии – получить доступ к запретной информации или выполнить какие-либо запрещённые действия в системе не прибегая к техническим уловкам, тонкостям, в общем, всяческим специализированным знаниям.

социальная инженерия, спам

Я бы разделил социальную инженерию на два вида:

1. Работа с людьми

Этот вид социальной инженерии появился очень давно и всем известен. Это, в принципе, мошенничество, у которого раньше не было отдельного названия.

Так, человек получает информацию, например, путём сбора информации о служащих объекта атаки, с помощью обычного телефонного звонка или путём проникновения в организацию под видом ее служащего.

Ещё один распространённый пример: рассылка писем якобы от администрации какого-либо сайта. Часто можно видеть письма о том, что была утеряна или повреждена база данных клиентов или пользователей, поэтому срочно необходимо, чтобы Вы выслали свой логин и пароль администратору. На самом же деле это простой обман, а обратный адрес – адрес злоумышленника.

Т.е. социальная инженерия при работе с людьми – это чистая психология. Нам же пока более интересен второй вариант.

2. Работа с ПО (человеческий фактор)

Социальная инженерия при работе с программным обеспечением – это поиск ошибки программистов. Они же тоже люди?! А просчитать всё возможно очень редко. Конечно, существуют бета-тестеры для поиска всевозможных социальных дыр и недоработок, но и они находят не всё.

Наглядный пример – ВКонтакте.ру. Ещё пару месяцев назад “в Контакте” можно было без особых проблем удалить своего друга хоть со всех фотографий, на которых он помечен. Достаточно было иметь в друзьях того, кого собираетесь удалять с фото, и того, кто это фото опубликовал.

Нужно было просто зайти на фотографию, отметить человека, которого хотели с этой фотографии удалить (т.е. отметить его второй раз, при этом метка переносилась со старого места – в новое), а затем удалить уже вашу метку. Всё это занимало пару секунд.

Конечно, это всё баловство, но бывают и такие случаи, когда найденную “дыру” можно очень хорошо монетизировать. Так, в одном из следующих постов я расскажу, как раньше поднимал тысячи и десятки тысяч хостов в сутки с того же VKontakte.ru. Опять же за счёт плохой продуманности интерфейса и безопасности.

 

Подводя итог. Социальная инженерия – очень интересная штука. С развитием технологий и интернетизацией общества она принимает всё большие масштабы. Без бета-тестирования уже не обходится ни один приличный Интернет-проект. А в таких областях, как спам – это новое решение новых проблем.

 

Новое на проектах:

 

Постовой?!

-
-

 

—-

Реклама: ; ; Охранная ; ; .

Реклама в этом блоге доступна и Вам!

Popularity: 15% []


Спам – очень интересная штука. Мы все его не любим. Спам измеряется миллионами ежедневно. Даже в моём блоге, к примеру, написано 965 обычных комментариев, зато пресечено 1142 попытки оставить спам-комментарий.

123

Всегда удивлялся спамерам. Если честно, даже сам занимался чем-то подобным. Использовал ВКонтакте. Используя мозг, без специализированного софта и чего-либо ещё привлекал более 1к трафа в сутки. При этом не было спама через сообщения или на стенах групп, как можно увидеть повсеместно.

Спамеры, ребят, где Ваш мозг?! Неужели Вам не придумать ничего пооригинальней банальных “зачот”, “мне понравилось”, “интересный материал” и “спасибо, понравилось” в комментариях? :)

Сейчас, думаю, все удаляют подобные стандартные спам-комментарии. Почему бы не воспользоваться чем-то новым? :)

Во-первых, даже банальное “+1” может быть эффективнее. Настрогать софт, думаю, большинству проблемы не составит. Итак, берём любой пост с уже имеющимися комментариями. Берём имя последнего комментатора и пишем что-нибудь типа “Артём, +1”. Зачастую такой комментарий может прийтись очень даже в тему.

Во-вторых, не нужно ограничиваться комментариями к постам в блогах. Есть куча мест, где можно оставить свою ссылку, но не заспамленных до сих пор. К примеру, сейчас реально расплодилось слишком много сервисов социальных новостей. Не замечали у них у всех одинаковые куски кода? Google в руки ;)

Наконец, можно придумать что-то более изощрённее. Пример. Есть такая штука, как . Или любые сборники афоризмов. Там часто попадаются цитаты вида “любить — это не значит смотреть друг на друга, любить — значит вместе смотреть в одном направлении” (сегодня цитата дня на Викицитатнике).

Парсим, приводим в порядок и юзаем пост по блогам на упоминание слова “любовь” к примеру. Если плотность в посте достаточно высока, или “любовь” присутствует в заголовке поста, смело оставляем коммент вида “А <автор_цитаты> говорил, что <сама_цитата>”. Лично я бы такой коммент не удалил бы. Даже если с него стояла ссылка на сателлит.

Создаётся впечатление, что даже у разработчиков антиспам-решений больше мозгов, чем у спамеров. А может сами антиспамеры и рассылают спам, дабы у них была работа? :) В общем, Use your brain. Think big. Работает везде и во всех сферах.

 

—-

У меня не творческий кризис. Мне есть что писать. Просто у меня есть личная жизнь. Есть другие проекты. Давно не было настроения для написания поста в сей блог -)

—-

Эмоции – единственное, что по-настоящему есть у нас.

—-

“…Что касается меня, то я привык в жизни полагаться на собственное невежество, страсть к переменам и силу воображения…” (с) Джим Додж

—-

В связи с постом Майнаса, решил немного монетизировать блог. Продаю ссылки с постового. 3 бакса за штуку. Ася 976176. Будут желающие?! :)

О чём можно будет почитать у меня в блоге дальше? :)

  • о моих новых идеях; а может и не моих; а может и не новых.
  • о манимэйкинге; о Ру– и буржунете.
  • о dofollow.
  • о кокологии.

А про что уже можно было бы в принципе почитать?)

Popularity: 1% []


1 страница из 11