Как просматривать скрытые фотографии в контакте. Уязвимость ВКонтакте: доступ к превью фотографий из диалогов и скрытых альбомов любого пользователя
10 февраля 2016 в 15:23Уязвимость ВКонтакте: доступ к превью фотографий из диалогов и скрытых альбомов любого пользователя
- Вконтакте API ,
- Информационная безопасность
Коротко
Была обнаружена уязвимость в мобильной версии сайта vk.com. Она позволяла просматривать превью скрытых фотографий, в том числе фотографии из диалогов пользователей, плюс можно было получить информацию о пользователях лайкнувших это скрытое фото. На данный момент уязвимости уже нет - её устранили полгода назад. ВКонтакте выразили благодарность в размере 700$ (нет, не в голосах).С чего всё начиналось
Во время сессии отвлекаешься на все, лишь бы не готовиться к экзаменам. Так и я, увидев о Bug Bounty программе от ВКонтакте на hackerone.com, вместо подготовки к экзаменам, взялся искать уязвимости. Почему-то сразу потянуло искать уязвимости, связанные с фотографиями скрытыми настройками приватности, и как оказалось - не зря.Поиск уязвимости на полной версии сайта
Предположив, что id скрытой фотографии мне известен (о его поиске - ниже), я начал пробовать подставлять этот id во всевозможные запросы curl"ом - пробовал сохранять скрытые изображения в свой альбом, отмечать себя на них, лайкать, репостить и т.п. ничего не давало положительный результат, пока я не попробовал просто отправить скрытую фотографию себе на стену. Результат был странным - в консоли запрос возвращал корректный результат и на стене появлялся новый пост, но его содержимое было пустым. Как я не старался, на сервере пресекались все попытки отправить скрытое фото на стену - посты были пустыми.Переход на мобильную версию
Затем, я вспомнил комментарий и решил попробовать сделать то же самое в мобильной версии сайта.
Отправляем фото на стену:
Curl "http://m.vk.com/wall53083705" -H "Cookie: remixsid=#remixsid" --data "act=post&hash=#hash&attach1_type=photo&attach1=idВладельцаФото_idСкрытогоФото"
# id фотографии состоит из двух частей разделенных знаком подчеркивания idВладельцаФото_idСкрытогоФото
Этот запрос выполнился не корректно, но обновив страницу, я с удивлением обнаружил, что на форме отправки появилась прикрепленная уменьшенная копия фотографии.
Максимальный размер фотографии - 130x130, но этого достаточно, чтобы, например, распознать лица на фото. Попытки получить ссылку на полное фото ни к чему не привели. Видимо, после закрытия уязвимости, с мобильной версии сайта прямые ссылки на полный размер просто так уже не получить.
Перебор фотографий
Уязвимость найдена. Для эксплуатации найденной уязвимости нужно получить id атакуемой фотографии.Id фотографии состоит из двух частей: photo12345_330000000 (idВладельца_idФото), вторая часть - растет от фотографии к фотографии, но это не обычный автоинкремент. Так как алгоритм выбора шага неизвестен, будем перебирать с шагом 1.
Для перебора воспользуемся методом api photos.delete . Данный метод для всех существующих фотографий (в том числе и скрытых) вернет error_code : 15. А для всех несуществующих id фотографий вернется единица.
Скорость перебора
Из можно узнать, как быстро перебирать фотографии. Да, данные в ней не самые новые, но даже если учесть, что за год фотографий стало в два раза больше, время перебора все равно остается приемлемым.чтобы узнать прямые ссылки на фотки юзера, допустим, за прошлый год, нужно перебрать всего лишь 30 млн (от _320000000 до _350000000) различных вариаций ссылок
Воспользовавшись ускорениями перебора из указанной статьи, фотографии пользователя можно было бы перебрать:
за 1 минуту получить все ваши вчерашние фотографии, за 7 минут - все фото, загруженные на прошлой неделе, за 20 минут - прошлый месяц, за 2 часа - прошлый год.
Отсев открытых/скрытых
Получив ссылки на все (и скрытые и открытые) фотографии пользователя, можно выбрать только скрытые, попробовав получить информацию о фотографии с помощью метода photos.getById. Те фотографии, информация о которых не возвращается этим методом - являются скрытыми.Информация о лайкнувших пользователях
Также можно было узнать пользователей, которые поставили лайки на скрытое фото. Метод likes.getList возвращал всех пользователей, которые добавили заданный объект в свой список мне нравится, даже если этот объект скрыт для пользователя запускающего этот метод.Репорт на hackerone
Мой репорт был открыт в июне. Закрыли уязвимость через два с половиной месяца, ничего мне не сообщив. Еще через месяц я получил ответ что уязвимость подтверждена и закрыта. А еще через какое-то время получил и вознаграждение.P.S.: тем, кто впервые пытается вывести вознаграждение с hackerone.com на новый аккаунт paypal - советую внимательно прочитать условия. Paypal при переводе средств, может без вашего согласия конвертнуть вознаграждение в валюту страны указанной в вашем профиле.
В ВК есть целый раздел с настройками приватности, в котором пользователи могут скрыть те же фотографии. Но мало воспользоваться этими настройками, нужно перенести фотографии в альбом.
Зачем? Дело в том, что фотографии, которые не были загружены в альбом, нельзя скрыть. Поэтому если у вас есть такие изображение, заходим в «Мои фотографии».
Здесь наводим стрелку на блок «Фотографии на моей стене», появится символ карандаша, нажмите на него.
После этого действия фотография будет перенесена в альбом.
Если у вас еще нет фотоальбома, возвращаемся на предыдущую страницу и нажимаем «Создать альбом».
Даем названием альбому, создаем описание и нажимаем кнопку «Создать альбом».
Далее переносите загруженные фотографии в этот альбом указанным ранее способом. После этого заходите в «Мои фотографии» и видите альбом, в котором уже есть перенесенные только что изображения. Наводите стрелку мыши на альбом и нажимаете на значок карандаша.
На странице настроек альбома в пунктах «Кто может просматривать этот альбом?» выставляете нужный параметр, например, «Только я». В этом случае данные фотографии будут доступны только вам. Это же вы можете проделать и с пунктом «Кто может комментировать фотографии?». Затем не забудьте нажать на кнопку «Сохранить изменения».
И не забывайте, что фотографию из скрытого альбома пользователь может увидеть только в том случае, если вы дадите ему прямую ссылку на изображение. В остальных случаях фотографии будут защищены настройками приватности.
Социальная сеть «ВКонтакте» на сегодняшний день является одной из наиболее популярных, которую используют жители разных стран. Ранее проект был доступен по адресу vkontakte.ru, а в настоящее время - vk.com. Хотя в любом случае, если прописывать полное название этой социальной сети, тогда вы все равно попадаете на свою страничку или на главную для авторизации.
Ранее этот ресурс был предназначен исключительно для общения, но в настоящее время эту площадку можно назвать прибыльной, так как многие пользователи с помощью нее строят успешный бизнес. Если вы регулярно пользуетесь этой социальной сетью, тогда наверняка знаете о многих возможностях, которые доступны для пользователей. Иногда случается ситуация, когда необходимо посмотреть закрытый альбом определенного человека. Однако он ограничивает круг лиц, которым доступен этот раздел с фотографиями. Соответственно, тут же возникает вопрос о том, как посмотреть скрытые альбомы «В Контакте», ведь об этом знают не многие пользователи. Мы сегодня поговорим на эту тему более детально и приведем вам несколько способов того, как это можно выполнять.
Варианты
Если вы задались вопросом о том, как посмотреть закрытые фото «В Контакте», тогда помните, что на самом деле способов для решения этой задачи существует множество, и сейчас мы детально рассмотрим каждый из них, поэтому дополнительные материалы из Всемирной сети вам не понадобятся.
Идентификатор
В первом способе от вас потребуется узнать ID, который вы сможете найти в перейдя на определенную страницу. Вам нужно выбрать того человека, просмотр закрытых фото «В Контакте» которого у вас появилось желание произвести. После перехода на страничку необходимого пользователя в браузерной строке вы сможете увидеть идентификатор, также можно этот параметр узнать и при отправлении сообщений. Когда вы получили сведения об ID желаемого человека, вам потребуется только установить это значение в строке обозревателя и прописать определенную команду «http://vkontakte.ru/photos.php?id=*», где звездочка является полученным кодом.
Помните о том, что вам необходимо вводить цифры. Этот способ является самым старым, ранее он отлично работал, возможно, он функционирует и по сей день, соответственно, вам следует его протестировать. Но если этот подход в вашем случае не помог, вам не стоит огорчаться, так как вы сможете также воспользоваться и другими вариантами, которых в настоящее время присутствует немалое количество, и о них мы поговорим далее.
Durov.ru
Давайте теперь рассмотрим другой вариант того, как посмотреть скрытые альбомы «В Контакте». Для того чтобы увидеть чужие фотографии, вам потребуется посетить официальный сайт который является главным разработчиком социальной сети. Для этого вводим в браузерной строке адрес durov.ru, далее на нем вам необходимо авторизоваться, введя свои данные, которые вы используете при входе в Vk.com. Теперь перед вами стоит основная задача - вам нужно найти человека, у которого закрыты фотографии, и их рассекретить.
Для того чтобы посмотреть скрытый альбом «В Контакте», вам необходимо на его странице ввести запись Photos with user. Если все выполнили правильно, тогда перед вами должны отобразиться все фотографии, которые были скрыты настройками приватности. Как видите сами, в этом нет совершенно ничего сложного, но если приведенные выше два способа вам не подходят по какой-либо причине, в таком случае вам потребуется рассмотреть третий, о котором мы сейчас поговорим.
Другие проекты
В третьем способе потребуется посетить сайт http://kontaktlife.ru/prosmotr-zakrytyx. После перехода перед вами появится специальное окошко, в которое следует ввести ID человека для просмотра скрытых фотографий. После ввода вам необходимо указать подтверждение, после чего вопрос о том, как посмотреть скрытые альбомы «В Контакте», будет полностью решен, перед вами появятся все фотографии выбранного человека.
Защита
В целях безопасности для своей личной информации мы не рекомендуем вам указывать свои данные для входа в социальную сеть «ВКонтакте» на сторонних сайтах. В противном случае злоумышленники могут воспользоваться вашими данными в своих целях, и вы попросту не сможете восстановить пароли для учетной записи.
На самом деле таких мошенников в настоящее время присутствует очень много, и многие пользователи вскоре начинают понимать, что они попались на уловку. Если вы решили узнать ответ на вопрос о том, как посмотреть скрытые альбомы «В Контакте» и нашли некий подозрительный сервис, тогда мы ни в коем случае не рекомендуем пользоваться им, так как это может быть чревато неприятностями для вашей личной странички. Тем более если у вас там хранится важная информация, которую в случае получения данных мошенники могут использовать для своих целей. Благодарим за внимание каждого читателя. Надеемся, материал был для вас полезен.
Инструкция
В случае если страница с фотографиями заблокирована, то посмотрите на адресную строку (сверху появляется адрес страницы куда вы вошли). В этой строке вы увидите надпись http://vkontakte.ru/id(цифры). Вам необходимо скопировать id пользователя, чьи фотографии вы хотите посмотреть. Например http://vkontakte.ru/id123 , где число в конце ссылки (123) и есть искомое id.
Зайдите на сайт http://susla.ru/ Сразу же вы увидите главную страницу с краткой инструкцией и окном для ввода с надписью "Сюда". В это окошко вставляем или вводим скопированный id и жмем "Смотреть". После нажатия вы перейдете на новую страницу, где высветятся все фотографии искомого пользователя.
Щелкните по появившимся фотографиям. Они будут высвечиваться в полном размере. Вы можете свободно их просматривать. В случае если на странице пользователя нет фотографий, высветится надпись "Нету".
Видео по теме
Обратите внимание
Часто для просмотра чужих страниц и фотографий предлагают воспользоваться различными программами, которые требуют установки. Подобные программы с вероятностью 99% являются вирусами. Ни в коем случае не устанавливайте их, а если установили - немедленно удалите и проверьте ваш компьютер антивирусом
Источники:
- как просмотреть фотоальбомы вконтакте
Любопытство иной раз подстегивает посмотреть на фотографии с событий, посещенных другом или коллегой. Очень хочется посмотреть, как знакомый ведет себя на официальном заседании или на неформальной тусовке. Социальные сети и некоторые форумы позволяют увидеть такие кадры, разумеется, если не запрещает сам владелец учетной записи.
Вам понадобится
- Компьютер с подключением к интернету.
Инструкция
В социальной сети “Facebook” также нужно на страницу пользователя и под его главной фотографией строку “Photos”. На новой странице фотоальбомы пользователя и отдельные фото, на которых он отмечен. Открывайте и листайте описанным выше способом.
Видео по теме
Обратите внимание
Некоторые фотографии могут быть защищены настройками приватности. Не удивляйтесь, если какие-то кадры вам посмотреть не удастся по этой причине.
Чаще всего нужда в блокировке собственной страницы в социальной сети «ВКонтакте» возникает тогда, когда либо необходимость в ней пропадает, либо когда недоброжелатели пытаются так или иначе опозорить пользователя. Сделать блокировку не так сложно.
Стоит отметить, что администрация социальной сети «ВКонтакте» крайне нежелательно относиться к блокировке чужих аккаунтов. Это в первую очередь связано с тем, что статистика сайта в таких случаях будет падать, а как известно, «ВКонтакте» очень любит показать людям, что они популярны. Таким образом получается, что для блокировки нежелательного аккаунта требуется весомый довод, то есть серьезное нарушение правил самой социальной сети. Если этого нет, то заблокировать аккаунт вряд ли получится, хотя есть несколько способов, которые помогут осуществить задуманное.
Нарушение правил сайта
Как было сказано выше, администрация без проблем может заблокировать пользователя, нарушающего правила социальной сети. Разумеется, эти правила читает далеко не каждый и еще больше людей регулярно их нарушают. В итоге получается, что при желании пользователь, желающий заблокировать другой аккаунт может написать администрации социальной сети «ВКонтакте» соответствующую жалобу. После того как ее рассмотрят и если администрации удостоверится в том, что пользователь нарушил правила, то его страницу немедленно заблокируют.
Неверные и неточные данные
Заблокировать «ВКонтакте» можно, если пользователь указал неверные или неточные данные. То есть, пользователю требуется найти подобную информацию на странице недоброжелателя. Например, если аватарка не является фотографией владельца аккаунта, либо если он указал неточные (ложные) сведения о себе (ФИО и т.п.), то можно с легкостью пожаловаться на нарушение правил сайта и требовать блокировки аккаунта.
Копипаст
Копипаст (скопированный текст) тоже может являться причиной блокировки аккаунта. Для этого требуется найти именно тот сайт, с которого был скопирован текст и написать владельцу этого ресурса о том, что его информация была опубликована в социальной сети «ВКонтакте» конкретным лицом (нужно указать адрес страницы, на которой хранится текст и адрес владельца страницы). Одновременно с этим нужно отправит жалобу администрации. В результате проверки аккаунт недоброжелателя, скорее всего, заблокируют.
Нелегальное размещение материалов
Нелегальные видео или аудиозаписи тоже являются поводом для блокировки чужой страницы. Как известно, авторские права нарушать нельзя, а использование пиратских аудио и видеозаписей как раз нарушают закон. Пользователю достаточно написать администрации, что на указанной странице размещаются нелицензионные материалы, которые нарушают права.
Не стоит забывать о том, что в техподдержке «ВКонтакте» работают люди. В случае распространения клеветы или оскорблений на вас, вы также можете попросить удалить аккаунт недоброжелателя. Скорее всего, администрация войдет в ваше положение и прислушается к просьбе.
Вы наверняка знаете, что в социальную сеть Вконтакте можно загружать фотки. Иногда это делается, чтобы показать друзьям, где ты был и что видел, а иногда хочется просто скрыть свои фото от посторонних глаз. Этим мы и займемся в данной статье.
Скрытие фотографий на главной странице Вконтакте
Вы, наверное, замечали, что на главной странице подгружаются последние загруженные вами фотографии. Так вот, оказывается некоторые из них можно скрывать. Давайте посмотрим, что я имею в виду, и как это делается.
Заходим на свою страничку, наводим мышку в правой угол фотографии, которую хотите скрыть, на главной странице. Посмотрите на скриншот, и вам сразу станет все понятно:
Нам пишут, что данная фотка теперь не будет показываться в данном блоке. Данное действие можно отменить, нажав на кнопку «Отмена»:
Как скрыть фотографии, на которых меня отметили
Заходим в «Мои настройки».
Переходим в раздел «Приватность». Напротив пункта «Кто видит фотографии, на которых меня отметили» ставим «Только я».
Вот и все.
Как скрыть некоторые фото от других
Мною был уже рассмотрен. Так что перейдите по ссылке и прочитайте, как это все делается.
Сейчас же давайте разберемся, как скрыть отдельный альбом. Заходим «Мои Фотографии» и переходим во вкладку «Все фотографии»:
Находим альбом, который хотим скрыть, и нажимаем на карандашик в правом верхнем углу. Эта кнопочка означает «Редактирование альбома»:
Напротив пункта «Кто может просматривать этот альбом» ставим «Только я». Это означает, что кроме вас никто не увидит картинки, которые хранятся здесь:
Для того чтобы перенести фотку в скрытый альбомчик необходимо вначале ее найти, а после под ней нажать на ссылочку «Действия» и из выпавшего меню выбрать «Перенести в альбом»:
Как скрыть альбом на телефоне Андроид
Запускаем приложение Вконтакте для Андроид. В левом меню нажимаем на значок фотоаппарата и переходим во вкладку «Альбомы». Находим нужный и в правом верхнем углу его аватарки находим три вертикальные точки и нажимаем на них.
Из выпавшего меню выбираем пункт «Редактировать»:
У нас выскакивает меню, в котором есть уже знакомый нам пункт, кто может просматривать.
