Поиск скрытых фотографий вк. Уязвимость ВКонтакте: доступ к превью фотографий из диалогов и скрытых альбомов любого пользователя

10 февраля 2016 в 15:23

Уязвимость ВКонтакте: доступ к превью фотографий из диалогов и скрытых альбомов любого пользователя

  • Вконтакте API ,
  • Информационная безопасность

Коротко

Была обнаружена уязвимость в мобильной версии сайта vk.com. Она позволяла просматривать превью скрытых фотографий, в том числе фотографии из диалогов пользователей, плюс можно было получить информацию о пользователях лайкнувших это скрытое фото. На данный момент уязвимости уже нет - её устранили полгода назад. ВКонтакте выразили благодарность в размере 700$ (нет, не в голосах).

С чего всё начиналось

Во время сессии отвлекаешься на все, лишь бы не готовиться к экзаменам. Так и я, увидев о Bug Bounty программе от ВКонтакте на hackerone.com, вместо подготовки к экзаменам, взялся искать уязвимости. Почему-то сразу потянуло искать уязвимости, связанные с фотографиями скрытыми настройками приватности, и как оказалось - не зря.

Поиск уязвимости на полной версии сайта

Предположив, что id скрытой фотографии мне известен (о его поиске - ниже), я начал пробовать подставлять этот id во всевозможные запросы curl"ом - пробовал сохранять скрытые изображения в свой альбом, отмечать себя на них, лайкать, репостить и т.п. ничего не давало положительный результат, пока я не попробовал просто отправить скрытую фотографию себе на стену. Результат был странным - в консоли запрос возвращал корректный результат и на стене появлялся новый пост, но его содержимое было пустым. Как я не старался, на сервере пресекались все попытки отправить скрытое фото на стену - посты были пустыми.

Переход на мобильную версию

Затем, я вспомнил комментарий и решил попробовать сделать то же самое в мобильной версии сайта.

Отправляем фото на стену:

Curl "http://m.vk.com/wall53083705" -H "Cookie: remixsid=#remixsid" --data "act=post&hash=#hash&attach1_type=photo&attach1=idВладельцаФото_idСкрытогоФото" # id фотографии состоит из двух частей разделенных знаком подчеркивания idВладельцаФото_idСкрытогоФото
Этот запрос выполнился не корректно, но обновив страницу, я с удивлением обнаружил, что на форме отправки появилась прикрепленная уменьшенная копия фотографии.

Максимальный размер фотографии - 130x130, но этого достаточно, чтобы, например, распознать лица на фото. Попытки получить ссылку на полное фото ни к чему не привели. Видимо, после закрытия уязвимости, с мобильной версии сайта прямые ссылки на полный размер просто так уже не получить.

Перебор фотографий

Уязвимость найдена. Для эксплуатации найденной уязвимости нужно получить id атакуемой фотографии.

Id фотографии состоит из двух частей: photo12345_330000000 (idВладельца_idФото), вторая часть - растет от фотографии к фотографии, но это не обычный автоинкремент. Так как алгоритм выбора шага неизвестен, будем перебирать с шагом 1.

Для перебора воспользуемся методом api photos.delete . Данный метод для всех существующих фотографий (в том числе и скрытых) вернет error_code : 15. А для всех несуществующих id фотографий вернется единица.

Скорость перебора
Из можно узнать, как быстро перебирать фотографии. Да, данные в ней не самые новые, но даже если учесть, что за год фотографий стало в два раза больше, время перебора все равно остается приемлемым.
чтобы узнать прямые ссылки на фотки юзера, допустим, за прошлый год, нужно перебрать всего лишь 30 млн (от _320000000 до _350000000) различных вариаций ссылок

Воспользовавшись ускорениями перебора из указанной статьи, фотографии пользователя можно было бы перебрать:

за 1 минуту получить все ваши вчерашние фотографии, за 7 минут - все фото, загруженные на прошлой неделе, за 20 минут - прошлый месяц, за 2 часа - прошлый год.
Отсев открытых/скрытых
Получив ссылки на все (и скрытые и открытые) фотографии пользователя, можно выбрать только скрытые, попробовав получить информацию о фотографии с помощью метода photos.getById. Те фотографии, информация о которых не возвращается этим методом - являются скрытыми.

Информация о лайкнувших пользователях

Также можно было узнать пользователей, которые поставили лайки на скрытое фото. Метод likes.getList возвращал всех пользователей, которые добавили заданный объект в свой список мне нравится, даже если этот объект скрыт для пользователя запускающего этот метод.

Репорт на hackerone

Мой репорт был открыт в июне. Закрыли уязвимость через два с половиной месяца, ничего мне не сообщив. Еще через месяц я получил ответ что уязвимость подтверждена и закрыта. А еще через какое-то время получил и вознаграждение.

P.S.: тем, кто впервые пытается вывести вознаграждение с hackerone.com на новый аккаунт paypal - советую внимательно прочитать условия. Paypal при переводе средств, может без вашего согласия конвертнуть вознаграждение в валюту страны указанной в вашем профиле.

Пользователи рунета очень часто спрашивают, как посмотреть закрытые альбомы участников социальной сети ВКонтакте? Существует ли вообще такая возможность и если да, то как ею воспользоваться?

Увы и ах, посмотреть закрытые фотоальбомы нельзя, как бы вам этого не хотелось. Потому они и являются закрытыми, раз пользователь не хочет выставлять их на всеобщее обозрение, а ВК в этом ему лишь помогает.

Сами по себе скрытые альбомы никак себя не выдают. Вполне возможно, что у пользователя, который вам интересен, их вообще нет. Тем не менее, убедиться в этом невозможно. Вот что видит пользователь, у которого имеется альбом, доступный только ему:

А вот что видит пользователь, который зайдет к этому человеку на страницу:

Разница очевидна.

Некоторое время назад был один способ, который якобы помогал в этом нелегком деле — поиске закрытых альбомов. Неизвестно, был ли он рабочим раньше, но сегодня он точно не работает. Суть в следующем: берется ссылка вида vk.com/albumsXXXXX, где вместо буковок X вставляется id пользователя. Можете проверить прямо сейчас — откроется список фотографий и альбомов, которые доступны к просмотру любому пользователю.

В общем, единственный вариант — это получить доступ к странице пользователя, а сделать это можно только в том случае, если он сам же и предоставит вам доступ. В остальных случаях ничего не выйдет. Для кого-то счастью, для кого-то — к сожалению.

Сложно найти компьютерного пользователя, который бы не слышал или не был зарегистрирован в социальной сети ВКонтакте. Интернет-общение настолько захватило современных людей, что без них мы уже не представляем свой досуг, да что там, вообще свою жизнь. Имея собственную страничку в ВК, невольно замечаешь множество нюансов, которые таит в себе данный ресурс, однако не со всеми ними легко справиться. У многих юзеров все эти тонкости и премудрости вызывают сложности, поэтому без посторонней помощи здесь не обойтись.


Например, много вопросов поступает о том, как скрытые фотографии ВКонтакте. Но бывает так, что , а вам позарез нужно увидеть его снимки. Про этичную сторону этого намерения я рассказывать не буду, но предложу вам способ, который, возможно, и поможет.

Как скрыть фотографии

Прежде чем перейти непосредственно к теме данной статьи, мне хотелось бы напомнить вам, как можно скрыть свои фотографии. Думаю, что многим подобная информация будет интересной, а те, кто уже нею владеют, могут освежить свои знания. Итак, дело обстоит так:

  1. Зайдите в ВКонтакте, предварительно введя свои персональные данные для входа.
  2. В левой части окна отыщите строчку «Мои настройки», нажмите на нее.
  3. Далее откройте вкладку «Приватность».
  4. Там будет перечислены настройки, которые вы можете изменить на свое усмотрение. Здесь вы сможете также , . Среди них отыщите «Кто видит фотографии, на которых меня отметили». Рядышком есть выпадающий список, который позволяет выбрать круг людей, которым будут видны ваши фото. Так, вы можете выбрать «Только друзья» или вообще скрыть снимки ото всех, нажав «Только я».

После данных настроек изменения незамедлительно вступают в силу.

Как посмотреть скрытые фотографии

Теперь, собственно, к основному вопросу: как же посмотреть фото людей, которые ограничили доступ? Прямого ответа на этот вопрос нет, потому как администрация ВК предполагает, что чужую приватность следует уважать. Однако если ситуация такова, что вариантов нет, предлагаю вам воспользоваться таким вариантом.


Хочу обратить ваше внимание, что данный способ не является одобренным администрацией ВК, поэтому он может перестать работать в любо момент. Универсального рецепта нет, поэтому не стоит возлагать слишком много надежд. В любом случае, желаю удачи!

Многие уже давно задаются вопросом, как смотреть закрытые фото в контакте. И действительно, внутри каждого из нас живет другой человек, которому любопытно все, что происходит с его близкими, друзьями, семьей или же наоборот врагами. Посмотреть закрытые фото вконтаке возможно, и сделать это очень даже просто. Причем способов существует несколько, поэтому, если не получилось с первого раза, не отчаивайтесь и повторите попытку.

Как смотреть закрытые альбомы в контакте

Не так давно был рассмотрен вопрос о том, как поднять рейтинг в контакте, теперь настала очередь и фотографий. Эти уроки чем-то связаны и будут пересекаться, поэтому советуем пройти по вышеуказанной ссылке и ознакомиться со статьей. Как вы знаете, интернет не стоит на месте и постоянно развивается, поэтому советы, предложенные вам на данный момент могут уже устареть и не работать, но все же стоит попробовать. Итак, рассмотрим несколько способов просмотра скрытой информации.

Как смотреть закрытые фото (способ № 1)

Суть заключается в замене вашего id на другой в Url, который был сформирован заранее. Если взять id хозяина страницы или его друга, для которого альбом не скрытый, и подставить его в url (Адрес страницы) вместо своего, то фотографии должны открыться для вас. Думаю, для вас не составит труда выполнить несколько простых шагов, особенно, если вы знаете, где находится id.

Скопируйте id и подставьте в данный адрес id сразу после знака равно.

http://vkontakte.ru/photos.php?id=

Как смотреть закрытые фото (способ № 2)

Данный способ имеет специфическое название “Прощелкивание” и работает при определенных условиях. Условием для работы является то, чтобы только некоторые фотографии были скрыты настройками приватности. Если же от чужих глаз закрыт целый альбом, то переходите к методу 4. Действия, которые вам необходимо выполнить:

  1. Найдите подходящего человека
  2. Перейдите к нему в альбом
  3. Обратите внимание на нижнюю часть страницы и нажмите на пункт “Включить быстрый просмотр”
  4. Кликните на фотографию, находящуюся перед той, которая закрыта
  5. Далее нажмите кнопку “Следующая”
  6. После пройденных шагов фото должно открыться

Если вы не поняли, как смотреть фото, прочитав текст, то посмотрите данное видео, где все наглядно показано.

Как смотреть закрытые фото (способ № 3)

Данный способ рассчитан на небольшой баг сайта, который дает отличную возможность, чтобы просматривать закрытые фотографии. Причем может быть закрыта полностью страница, а не только альбом, это не сдержит нас. Для достижения цели выполните пошаговую инструкцию, которая предложена ниже.

  1. Найдите полностью закрытую страницу
  2. Обратите внимание на то, чтобы в профиле стояло несколько аватарок, т.е. их было бы можно пролистывать при нажатии.
  3. Кликните по любой ссылке в разделе “Меню”
  4. Далее быстрым движением нажмите на аватарку
  5. Перед вами должно открыться окно, которое дает возможность просматривать все закрытые фото

Обратите внимание на скорость перехода к аватарке (пункт 4). Чем быстрее вы это сделаете, тем лучше, этим самым вы избежите лишних неточностей и казусов.

Как смотреть закрытые фото (способ № 4)

Подошла очередь последнего способа в списке, но, наверное, первого по популярности. Для его выполнения воспользуйтесь официальным сайтом Дурова, который находится по адресу durov.ru. Данный сайт обладает теми же данными, что и контакт, но почему-то на нем соблюдены не все настройки приватности. Поэтому используйте 1 метод с подставлением левого id и наслаждайтесь результатом. Конечно, ссылка выглядит несколько иначе, т.к. сайт другой.

.
Что может программа:
1. Просмотр альбомов на закрытых страницах
2. Просмотр видеозаписей на закрытой странице вконтакте
3. Просмотр фотографий на которых отмечен пользователь
4. Просмотр друзей пользователя вконтакте
5. Просмотр статусов на закрытой странице.
6. Программа не требует ввода вашего логина и пароля для просмотра данных вконтакте.
7. А также другие .

Как пользоваться программой VkOnLook 2010:
1. Качаем: , пароль на архив: http://сайт
2. Перед просмотром данных, вы должны быть авторизованы вконтакте. Запускаем программу, видим следующее окно:

3. В поле «Введите id» вводим id странички\пользователя, данные которого хотим посмотреть.
(Чтобы узнать какой id у пользователя переходим на его страничку, и видим в адресной строке вашего браузера
например: http://vkontakte.ru/id123456, копируем только цифры, в нашем случае это «123456»):


4. Нажимаем кнопку «Начать просмотр». По нажатию кнопки, программа увеличивается, и перед вами список дальнейших возможностей:


5. Выбираем какую информацию хотим посмотреть и нажимаем кнопку «Посмотреть»
Чтобы выйти из программы VkOnLook, нажимаем «Меню -Выход», или просто нажимаем крестик в правом верхнем углу.
По нажатию кнопки в меню «О программе» вы попадете на сайт
По нажатию кнопки в меню «Помощь» вы попадете на эту страницу программы

Программа VkOnLook 2010 распространяется бесплатно.

Программа VkOnLook не содержит вредоносных кодов (Троянов, вирусов и прочего), программа проверена на вирусы 40 антивирусными программами. VkOnLook — не является программой для взлома аккаунтов, страниц, а также кражи личной информации социальной сети вконтакте. Программа VkOnLook не использует «дыры» вконтакте, не используется для фишинга, кражи паролей и прочего, она лишь является программой для просмотра альбомов, видеозаписей, статусов, списка друзей вконтате тех пользователей, у которых открыт доступ для просмотра всего вышеперечисленного.

  • Сергей Савенков

    какой то “куцый” обзор… как будто спешили куда то