Как скрыть фотографии вконтакте. Проверка скрытых фоток в вк. Как смотреть закрытые фото в контакте

10 февраля 2016 в 15:23

Уязвимость ВКонтакте: доступ к превью фотографий из диалогов и скрытых альбомов любого пользователя

  • Вконтакте API ,
  • Информационная безопасность

Коротко

Была обнаружена уязвимость в мобильной версии сайта vk.com. Она позволяла просматривать превью скрытых фотографий, в том числе фотографии из диалогов пользователей, плюс можно было получить информацию о пользователях лайкнувших это скрытое фото. На данный момент уязвимости уже нет - её устранили полгода назад. ВКонтакте выразили благодарность в размере 700$ (нет, не в голосах).

С чего всё начиналось

Во время сессии отвлекаешься на все, лишь бы не готовиться к экзаменам. Так и я, увидев о Bug Bounty программе от ВКонтакте на hackerone.com, вместо подготовки к экзаменам, взялся искать уязвимости. Почему-то сразу потянуло искать уязвимости, связанные с фотографиями скрытыми настройками приватности, и как оказалось - не зря.

Поиск уязвимости на полной версии сайта

Предположив, что id скрытой фотографии мне известен (о его поиске - ниже), я начал пробовать подставлять этот id во всевозможные запросы curl"ом - пробовал сохранять скрытые изображения в свой альбом, отмечать себя на них, лайкать, репостить и т.п. ничего не давало положительный результат, пока я не попробовал просто отправить скрытую фотографию себе на стену. Результат был странным - в консоли запрос возвращал корректный результат и на стене появлялся новый пост, но его содержимое было пустым. Как я не старался, на сервере пресекались все попытки отправить скрытое фото на стену - посты были пустыми.

Переход на мобильную версию

Затем, я вспомнил комментарий и решил попробовать сделать то же самое в мобильной версии сайта.

Отправляем фото на стену:

Curl "http://m.vk.com/wall53083705" -H "Cookie: remixsid=#remixsid" --data "act=post&hash=#hash&attach1_type=photo&attach1=idВладельцаФото_idСкрытогоФото" # id фотографии состоит из двух частей разделенных знаком подчеркивания idВладельцаФото_idСкрытогоФото
Этот запрос выполнился не корректно, но обновив страницу, я с удивлением обнаружил, что на форме отправки появилась прикрепленная уменьшенная копия фотографии.

Максимальный размер фотографии - 130x130, но этого достаточно, чтобы, например, распознать лица на фото. Попытки получить ссылку на полное фото ни к чему не привели. Видимо, после закрытия уязвимости, с мобильной версии сайта прямые ссылки на полный размер просто так уже не получить.

Перебор фотографий

Уязвимость найдена. Для эксплуатации найденной уязвимости нужно получить id атакуемой фотографии.

Id фотографии состоит из двух частей: photo12345_330000000 (idВладельца_idФото), вторая часть - растет от фотографии к фотографии, но это не обычный автоинкремент. Так как алгоритм выбора шага неизвестен, будем перебирать с шагом 1.

Для перебора воспользуемся методом api photos.delete . Данный метод для всех существующих фотографий (в том числе и скрытых) вернет error_code : 15. А для всех несуществующих id фотографий вернется единица.

Скорость перебора
Из можно узнать, как быстро перебирать фотографии. Да, данные в ней не самые новые, но даже если учесть, что за год фотографий стало в два раза больше, время перебора все равно остается приемлемым.
чтобы узнать прямые ссылки на фотки юзера, допустим, за прошлый год, нужно перебрать всего лишь 30 млн (от _320000000 до _350000000) различных вариаций ссылок

Воспользовавшись ускорениями перебора из указанной статьи, фотографии пользователя можно было бы перебрать:

за 1 минуту получить все ваши вчерашние фотографии, за 7 минут - все фото, загруженные на прошлой неделе, за 20 минут - прошлый месяц, за 2 часа - прошлый год.
Отсев открытых/скрытых
Получив ссылки на все (и скрытые и открытые) фотографии пользователя, можно выбрать только скрытые, попробовав получить информацию о фотографии с помощью метода photos.getById. Те фотографии, информация о которых не возвращается этим методом - являются скрытыми.

Информация о лайкнувших пользователях

Также можно было узнать пользователей, которые поставили лайки на скрытое фото. Метод likes.getList возвращал всех пользователей, которые добавили заданный объект в свой список мне нравится, даже если этот объект скрыт для пользователя запускающего этот метод.

Репорт на hackerone

Мой репорт был открыт в июне. Закрыли уязвимость через два с половиной месяца, ничего мне не сообщив. Еще через месяц я получил ответ что уязвимость подтверждена и закрыта. А еще через какое-то время получил и вознаграждение.

P.S.: тем, кто впервые пытается вывести вознаграждение с hackerone.com на новый аккаунт paypal - советую внимательно прочитать условия. Paypal при переводе средств, может без вашего согласия конвертнуть вознаграждение в валюту страны указанной в вашем профиле.

В процессе изучения возможностей и простого использования страниц современной социальной сети ВКонтакте, у пользователей появляется большое количество вопросов. Одним из самых распространенных является решение проблемы, как посмотреть скрытые фото в ВКонтакте. Довольно часто пользователи скрывают свои профили полностью или частично, соответственно посмотреть их фото не представляется возможным.

Перед тем как рассмотреть вопрос, относительно возможности посмотреть скрытые фото, стоит кратко рассмотреть тему по их скрытию. Чтобы спрятать свои фото, потребуется выполнить следующие действия:

  • Требуется зайти на страницу ВК;
  • Слева найти строку «Мои настройки» и активировать ее;
  • Открыть подраздел «Приватность»;
  • Появятся специальные настройки приватности. Их можно устанавливать по своему усмотрению.

Скрыть можно не только фото, но аудиозаписи, посты и друзей. Выбрав строку, отражающую тех, кто может видеть фото, нужно определить тех, кому будет позволено видеть личные фото. Здесь можно выбрать полную скрытность, установив «только я» или предоставив просмотр только для друзей. Установленные функции сразу после проведенных настроек начинают действовать.

Как посмотреть сохраненные фото в ВК если они скрыты?

Итак, как увидеть скрытые фото пользователей ВК? Официальной схемы действия здесь нет, так как разработчики социальной сети уважают стремление пользователей сохранять свою приватность. При желании осуществить просмотр скрытых фото ВК, стоит выполнить следующие действия:

  1. Нужно зайти в профиль пользователя, чьи фото есть желание посмотреть.
  2. Совершается клик по свободному месту обычной кнопкой мыши.
  3. Выбирается раздел «Посмотреть исходный код страницы».
  4. Нажимается Ctrl+F.
  5. В поиске вводится «albums», только без кавычек.
  6. В строке после данного слова появляются цифры, их нужно скопировать. Это и есть код страницы.
  7. Нужно снова зайти к пользователю в профиль и в строке адреса после ID ввести «?z=albums», также без кавычек.
  8. Вставляется скопированный предварительно фрагмент.
  9. Нажимается Enter, и получить удовольствие от лицезрения скрытых фото.

Важно! Этот вариант смотреть закрытые фотографии, если доступ закрыт, не совсем законный, администрация ВК его не одобряет.

По этой причине не нужно удивляться, если возможность смотреть сохраненные фото, если они скрыты, будет закрыта.

Сайт для просмотра скрытых фотографий В ВКонтакте

Данный метод можно использовать в случае уже полученного фрагмента кода, получить который можно вышеописанным способом. Для просмотра скрытых фото, необходимо вернуться на нужную страницу, на сайте социальной сети в строке браузерного поиска ввести ссылку, выстроенную по типу – vk.com/id….., где после ID идет идентификационный номер страницы. Далее ставится курсор на самый конец адреса и сразу вводятся специальные знаки «?z=».

В результате подобных действий в строке рабочего браузера выйдет надпись – vk.com/id……?z=albums….., где многоточие является ID пользователя. После нажатия на Enter, вниманию автоматически откроются все фото интересующего человека.

Заключение

Представленными вниманию довольно простыми способами можно без особых проблем изучить фото пользователей, находящихся в закрытых альбомах. Основным преимуществом подобных методик является возможность увидеть фото в альбомах тех людей, что уже не являются друзьями по ВК и совершенно незнакомых пользователей.

Вы наверняка знаете, что в социальную сеть Вконтакте можно загружать фотки. Иногда это делается, чтобы показать друзьям, где ты был и что видел, а иногда хочется просто скрыть свои фото от посторонних глаз. Этим мы и займемся в данной статье.

Скрытие фотографий на главной странице Вконтакте

Вы, наверное, замечали, что на главной странице подгружаются последние загруженные вами фотографии. Так вот, оказывается некоторые из них можно скрывать. Давайте посмотрим, что я имею в виду, и как это делается.

Заходим на свою страничку, наводим мышку в правой угол фотографии, которую хотите скрыть, на главной странице. Посмотрите на скриншот, и вам сразу станет все понятно:

Нам пишут, что данная фотка теперь не будет показываться в данном блоке. Данное действие можно отменить, нажав на кнопку «Отмена»:

Как скрыть фотографии, на которых меня отметили

Заходим в «Мои настройки».

Переходим в раздел «Приватность». Напротив пункта «Кто видит фотографии, на которых меня отметили» ставим «Только я».

Вот и все.

Как скрыть некоторые фото от других

Мною был уже рассмотрен. Так что перейдите по ссылке и прочитайте, как это все делается.

Сейчас же давайте разберемся, как скрыть отдельный альбом. Заходим «Мои Фотографии» и переходим во вкладку «Все фотографии»:

Находим альбом, который хотим скрыть, и нажимаем на карандашик в правом верхнем углу. Эта кнопочка означает «Редактирование альбома»:

Напротив пункта «Кто может просматривать этот альбом» ставим «Только я». Это означает, что кроме вас никто не увидит картинки, которые хранятся здесь:

Для того чтобы перенести фотку в скрытый альбомчик необходимо вначале ее найти, а после под ней нажать на ссылочку «Действия» и из выпавшего меню выбрать «Перенести в альбом»:

Как скрыть альбом на телефоне Андроид

Запускаем приложение Вконтакте для Андроид. В левом меню нажимаем на значок фотоаппарата и переходим во вкладку «Альбомы». Находим нужный и в правом верхнем углу его аватарки находим три вертикальные точки и нажимаем на них.

Из выпавшего меню выбираем пункт «Редактировать»:

У нас выскакивает меню, в котором есть уже знакомый нам пункт, кто может просматривать.

Многие пользователи ограничивают доступ к просмотру своих фотографий, с помощью . Или возможен такой вариант, когда альбомы не опубликованы на странице — вы просто не знаете, как зайти в них (см. ).

Но ведь очень хочется увидеть, что же пользователь скрыл. Давайте разбираться, как посмотреть скрытые фото вконтакте .

Используем id страницы, для просмотра скрытых фотографий

Заходите на страницу к нужному пользователю, и копируйте из адресной строки его id (см. ).

В том случае, если нет цифрового значения id, а вместо него указан выбранный пользователем ник, то нужно сделать следующее.

Вам нужно перейти к просмотру любой части профиля пользователя. Проще всего открыть аватарку.

Теперь вернитесь в адресную строку. Найдите следующую часть кода «z=photo233054» .

Цифры после слова «photo» , и есть id. В данном случае, это вот такое значение — 233054 . Теперь переходим к следующему шагу.

Как посмотреть закрытые фото и альбомы вконтакте

Если вы посмотрите на страницу пользователя, id которого мы только что получили, то увидите, что для просмотра доступна только одна фотография. И нет блока «Фотоальбомы» . Значит все фотки и альбомы скрыты (см. ).

Так давайте уже посмотрим их. Для этого снова перейдите в адресную строку, и наберите вот такой текст:

Https://vk.com/albums***

Как вы видите, здесь более 500-а фотографий.

Есть альтернативный код. Вот он:

Https://vk.com/id***?z=albums***

Вводите его в адресную строку, и вместо звездочек снова пишем id. Далее «Enter» . Результат будет тот же.

Теперь вы можете просмотреть все фотки, которые загрузил пользователь на свою страницу (см. ). В том числе и скрытые.

Заключение

Как вы понимаете, вы тоже можете ограничивать просмотр ваших фотографий. Но для тех, кто знаком с описанным методом, это не будет препятствием.

Вопросы?

Вконтакте

  • Сергей Савенков

    какой то “куцый” обзор… как будто спешили куда то