10 февраля 2016 в 15:23

Уязвимость ВКонтакте: доступ к превью фотографий из диалогов и скрытых альбомов любого пользователя

• Вконтакте API ,
• Информационная безопасность

Коротко

Была обнаружена уязвимость в мобильной версии сайта vk.com. Она позволяла просматривать превью скрытых фотографий, в том числе фотографии из диалогов пользователей, плюс можно было получить информацию о пользователях лайкнувших это скрытое фото. На данный момент уязвимости уже нет - её устранили полгода назад. ВКонтакте выразили благодарность в размере 700$ (нет, не в голосах).

С чего всё начиналось

Во время сессии отвлекаешься на все, лишь бы не готовиться к экзаменам. Так и я, увидев о Bug Bounty программе от ВКонтакте на hackerone.com, вместо подготовки к экзаменам, взялся искать уязвимости. Почему-то сразу потянуло искать уязвимости, связанные с фотографиями скрытыми настройками приватности, и как оказалось - не зря.

Поиск уязвимости на полной версии сайта

Предположив, что id скрытой фотографии мне известен (о его поиске - ниже), я начал пробовать подставлять этот id во всевозможные запросы curl"ом - пробовал сохранять скрытые изображения в свой альбом, отмечать себя на них, лайкать, репостить и т.п. ничего не давало положительный результат, пока я не попробовал просто отправить скрытую фотографию себе на стену. Результат был странным - в консоли запрос возвращал корректный результат и на стене появлялся новый пост, но его содержимое было пустым. Как я не старался, на сервере пресекались все попытки отправить скрытое фото на стену - посты были пустыми.

Переход на мобильную версию

Затем, я вспомнил комментарий и решил попробовать сделать то же самое в мобильной версии сайта.

Отправляем фото на стену:

Curl "http://m.vk.com/wall53083705" -H "Cookie: remixsid=#remixsid" --data "act=post&hash=#hash&attach1_type=photo&attach1=idВладельцаФото_idСкрытогоФото" # id фотографии состоит из двух частей разделенных знаком подчеркивания idВладельцаФото_idСкрытогоФото
Этот запрос выполнился не корректно, но обновив страницу, я с удивлением обнаружил, что на форме отправки появилась прикрепленная уменьшенная копия фотографии.

Максимальный размер фотографии - 130x130, но этого достаточно, чтобы, например, распознать лица на фото. Попытки получить ссылку на полное фото ни к чему не привели. Видимо, после закрытия уязвимости, с мобильной версии сайта прямые ссылки на полный размер просто так уже не получить.

Перебор фотографий

Уязвимость найдена. Для эксплуатации найденной уязвимости нужно получить id атакуемой фотографии.

Id фотографии состоит из двух частей: photo12345_330000000 (idВладельца_idФото), вторая часть - растет от фотографии к фотографии, но это не обычный автоинкремент. Так как алгоритм выбора шага неизвестен, будем перебирать с шагом 1.

Для перебора воспользуемся методом api photos.delete . Данный метод для всех существующих фотографий (в том числе и скрытых) вернет error_code : 15. А для всех несуществующих id фотографий вернется единица.

Скорость перебора

Из можно узнать, как быстро перебирать фотографии. Да, данные в ней не самые новые, но даже если учесть, что за год фотографий стало в два раза больше, время перебора все равно остается приемлемым.

чтобы узнать прямые ссылки на фотки юзера, допустим, за прошлый год, нужно перебрать всего лишь 30 млн (от _320000000 до _350000000) различных вариаций ссылок

Воспользовавшись ускорениями перебора из указанной статьи, фотографии пользователя можно было бы перебрать:

за 1 минуту получить все ваши вчерашние фотографии, за 7 минут - все фото, загруженные на прошлой неделе, за 20 минут - прошлый месяц, за 2 часа - прошлый год.

Отсев открытых/скрытых

Получив ссылки на все (и скрытые и открытые) фотографии пользователя, можно выбрать только скрытые, попробовав получить информацию о фотографии с помощью метода photos.getById. Те фотографии, информация о которых не возвращается этим методом - являются скрытыми.

Информация о лайкнувших пользователях

Также можно было узнать пользователей, которые поставили лайки на скрытое фото. Метод likes.getList возвращал всех пользователей, которые добавили заданный объект в свой список мне нравится, даже если этот объект скрыт для пользователя запускающего этот метод.

Репорт на hackerone

Мой репорт был открыт в июне. Закрыли уязвимость через два с половиной месяца, ничего мне не сообщив. Еще через месяц я получил ответ что уязвимость подтверждена и закрыта. А еще через какое-то время получил и вознаграждение.

P.S.: тем, кто впервые пытается вывести вознаграждение с hackerone.com на новый аккаунт paypal - советую внимательно прочитать условия. Paypal при переводе средств, может без вашего согласия конвертнуть вознаграждение в валюту страны указанной в вашем профиле.

В процессе изучения возможностей и простого использования страниц современной социальной сети ВКонтакте, у пользователей появляется большое количество вопросов. Одним из самых распространенных является решение проблемы, как посмотреть скрытые фото в ВКонтакте. Довольно часто пользователи скрывают свои профили полностью или частично, соответственно посмотреть их фото не представляется возможным.

Перед тем как рассмотреть вопрос, относительно возможности посмотреть скрытые фото, стоит кратко рассмотреть тему по их скрытию. Чтобы спрятать свои фото, потребуется выполнить следующие действия:

• Требуется зайти на страницу ВК;
• Слева найти строку «Мои настройки» и активировать ее;
• Открыть подраздел «Приватность»;
• Появятся специальные настройки приватности. Их можно устанавливать по своему усмотрению.

Скрыть можно не только фото, но аудиозаписи, посты и друзей. Выбрав строку, отражающую тех, кто может видеть фото, нужно определить тех, кому будет позволено видеть личные фото. Здесь можно выбрать полную скрытность, установив «только я» или предоставив просмотр только для друзей. Установленные функции сразу после проведенных настроек начинают действовать.

Как посмотреть сохраненные фото в ВК если они скрыты?

Итак, как увидеть скрытые фото пользователей ВК? Официальной схемы действия здесь нет, так как разработчики социальной сети уважают стремление пользователей сохранять свою приватность. При желании осуществить просмотр скрытых фото ВК, стоит выполнить следующие действия:

1. Нужно зайти в профиль пользователя, чьи фото есть желание посмотреть.
2. Совершается клик по свободному месту обычной кнопкой мыши.
3. Выбирается раздел «Посмотреть исходный код страницы».
4. Нажимается Ctrl+F.
5. В поиске вводится «albums», только без кавычек.
6. В строке после данного слова появляются цифры, их нужно скопировать. Это и есть код страницы.
7. Нужно снова зайти к пользователю в профиль и в строке адреса после ID ввести «?z=albums», также без кавычек.
8. Вставляется скопированный предварительно фрагмент.
9. Нажимается Enter, и получить удовольствие от лицезрения скрытых фото.

Важно! Этот вариант смотреть закрытые фотографии, если доступ закрыт, не совсем законный, администрация ВК его не одобряет.

По этой причине не нужно удивляться, если возможность смотреть сохраненные фото, если они скрыты, будет закрыта.

Сайт для просмотра скрытых фотографий В ВКонтакте

Данный метод можно использовать в случае уже полученного фрагмента кода, получить который можно вышеописанным способом. Для просмотра скрытых фото, необходимо вернуться на нужную страницу, на сайте социальной сети в строке браузерного поиска ввести ссылку, выстроенную по типу – vk.com/id….., где после ID идет идентификационный номер страницы. Далее ставится курсор на самый конец адреса и сразу вводятся специальные знаки «?z=».

В результате подобных действий в строке рабочего браузера выйдет надпись – vk.com/id……?z=albums….., где многоточие является ID пользователя. После нажатия на Enter, вниманию автоматически откроются все фото интересующего человека.

Заключение

Представленными вниманию довольно простыми способами можно без особых проблем изучить фото пользователей, находящихся в закрытых альбомах. Основным преимуществом подобных методик является возможность увидеть фото в альбомах тех людей, что уже не являются друзьями по ВК и совершенно незнакомых пользователей.

Социальная сеть «ВКонтакте» на сегодняшний день является одной из наиболее популярных, которую используют жители разных стран. Ранее проект был доступен по адресу vkontakte.ru, а в настоящее время - vk.com. Хотя в любом случае, если прописывать полное название этой социальной сети, тогда вы все равно попадаете на свою страничку или на главную для авторизации.

Ранее этот ресурс был предназначен исключительно для общения, но в настоящее время эту площадку можно назвать прибыльной, так как многие пользователи с помощью нее строят успешный бизнес. Если вы регулярно пользуетесь этой социальной сетью, тогда наверняка знаете о многих возможностях, которые доступны для пользователей. Иногда случается ситуация, когда необходимо посмотреть закрытый альбом определенного человека. Однако он ограничивает круг лиц, которым доступен этот раздел с фотографиями. Соответственно, тут же возникает вопрос о том, как посмотреть скрытые альбомы «В Контакте», ведь об этом знают не многие пользователи. Мы сегодня поговорим на эту тему более детально и приведем вам несколько способов того, как это можно выполнять.

Варианты

Если вы задались вопросом о том, как посмотреть закрытые фото «В Контакте», тогда помните, что на самом деле способов для решения этой задачи существует множество, и сейчас мы детально рассмотрим каждый из них, поэтому дополнительные материалы из Всемирной сети вам не понадобятся.

Идентификатор

В первом способе от вас потребуется узнать ID, который вы сможете найти в перейдя на определенную страницу. Вам нужно выбрать того человека, просмотр закрытых фото «В Контакте» которого у вас появилось желание произвести. После перехода на страничку необходимого пользователя в браузерной строке вы сможете увидеть идентификатор, также можно этот параметр узнать и при отправлении сообщений. Когда вы получили сведения об ID желаемого человека, вам потребуется только установить это значение в строке обозревателя и прописать определенную команду «http://vkontakte.ru/photos.php?id=*», где звездочка является полученным кодом.

Помните о том, что вам необходимо вводить цифры. Этот способ является самым старым, ранее он отлично работал, возможно, он функционирует и по сей день, соответственно, вам следует его протестировать. Но если этот подход в вашем случае не помог, вам не стоит огорчаться, так как вы сможете также воспользоваться и другими вариантами, которых в настоящее время присутствует немалое количество, и о них мы поговорим далее.

Durov.ru

Давайте теперь рассмотрим другой вариант того, как посмотреть скрытые альбомы «В Контакте». Для того чтобы увидеть чужие фотографии, вам потребуется посетить официальный сайт который является главным разработчиком социальной сети. Для этого вводим в браузерной строке адрес durov.ru, далее на нем вам необходимо авторизоваться, введя свои данные, которые вы используете при входе в Vk.com. Теперь перед вами стоит основная задача - вам нужно найти человека, у которого закрыты фотографии, и их рассекретить.

Для того чтобы посмотреть скрытый альбом «В Контакте», вам необходимо на его странице ввести запись Photos with user. Если все выполнили правильно, тогда перед вами должны отобразиться все фотографии, которые были скрыты настройками приватности. Как видите сами, в этом нет совершенно ничего сложного, но если приведенные выше два способа вам не подходят по какой-либо причине, в таком случае вам потребуется рассмотреть третий, о котором мы сейчас поговорим.

Другие проекты

В третьем способе потребуется посетить сайт http://kontaktlife.ru/prosmotr-zakrytyx. После перехода перед вами появится специальное окошко, в которое следует ввести ID человека для просмотра скрытых фотографий. После ввода вам необходимо указать подтверждение, после чего вопрос о том, как посмотреть скрытые альбомы «В Контакте», будет полностью решен, перед вами появятся все фотографии выбранного человека.

Защита

В целях безопасности для своей личной информации мы не рекомендуем вам указывать свои данные для входа в социальную сеть «ВКонтакте» на сторонних сайтах. В противном случае злоумышленники могут воспользоваться вашими данными в своих целях, и вы попросту не сможете восстановить пароли для учетной записи.

На самом деле таких мошенников в настоящее время присутствует очень много, и многие пользователи вскоре начинают понимать, что они попались на уловку. Если вы решили узнать ответ на вопрос о том, как посмотреть скрытые альбомы «В Контакте» и нашли некий подозрительный сервис, тогда мы ни в коем случае не рекомендуем пользоваться им, так как это может быть чревато неприятностями для вашей личной странички. Тем более если у вас там хранится важная информация, которую в случае получения данных мошенники могут использовать для своих целей. Благодарим за внимание каждого читателя. Надеемся, материал был для вас полезен.

У каждого активного пользователя сети интернет, существует аккаунт в социальной сети Вконтакте. Сайт Вконтакте позволяет осуществлять множество действий и одним из них является размещение фотографий, с возможностью настройки показа. В данной статье будет инструкция именно про скрытие фотографий из профиля Вконтакте. Причины для чего нужно скрыть много и у каждого она своя. Скрыть фото можно как от посторонних людей, так и от друзей, т.е они будут видны только вам.

Скрыть фото на которой меня отметили

Если вы хотите спрятать фото на которой вас отметил ваши друзья, то для этого необходимо перейти в раздел «Настройки», который расположен в верхней правой части раскрывающегося списка. Затем перейти в раздел «Приватность». Там напротив «Кто видит фотографии, на которых меня отметили» выбираем нужную приватность.

Скрыть свои фото и альбом

В левой части из списка меню выбираем пункт «Фотографии». Откроются все фотографии и альбомы. Чтобы скрыть альбом необходимо навести мышкой и нажать на значек карандаша. В открывшейся странице в пункте, кто может просматривать, выберите нужную приватность и нажмите «Сохранить изменения».

На данный момент нет возможности выставить приватность отдельным фотографиям, это можно обойти путем создания отдельного альбома, и назвать его например, «Скрытые фото», и выставить ему нужные права, а затем загрузить туда фотографии, которые желаете скрыть.

Спрятать фото с главной страницы Вконтакте

Перейдя на вашу страницу, наведите на фотографию. Появится серый крестик на верхнем углу и нажмите на него, тем самым вы скроете его из главной страницы.

Как уже писалось выше отдельное фото не получится скрыть, для этого надо создать альбом с нужными параметрами приватности. Удалите изображение, которые видны всем и заново их загрузите на новый альбом.

В статье мы разберем способы, позволяющие просмотреть закрытые фотографии пользователей социальной сети ВКонтакте. Кажется, что для этого нужно иметь хакерские способности или воспользоваться сложными программами. На деле, все гораздо проще.

Как просматривать скрытые картинки в ВК

Технологии постоянно развиваются, и штат программистов популярного веб-ресурса постоянно устраняет недочеты, поэтому предоставленные ниже методы могут и не работать. Тем не менее, стоит попробовать.

Вариант №1: замена адреса альбома

Данный метод заключается в том, что понадобится заменить персональный ID на сторонний. Предварительно его нужно скопировать со страницы пользователя, чьи фотографии необходимо увидеть. После вставки чужого ID в свой URL, снимки станут доступны. Алгоритм действий состоит из таких шагов:

• Нужно скопировать ID и вставить в адрес после слова albums;
• Выглядит он следующим образом:

• Остается нажать «Enter».

Теперь доступен просмотр закрытых фотографий Вконтакте.

Вариант №2: скоростное «прощелкивание»

Этот метод имеется специфическое название неспроста, поскольку выполняется в определенных условиях. Он срабатывает тогда, когда от посторонних пользователей человек скрыл не все фотографии альбома, а только часть из них. Что необходимо сделать:

• Выберите пользователя, скрытые картинки которого следует просмотреть;
• Перейдите к альбому, в котором наверняка есть приватные фото;

• В нижней части страницы имеется функция «Активировать быстрый просмотр»;
• Остается остановиться на фотографии, после которой имеется скрытая.
• При включенном «ускоренном просмотре» быстрый щелчок по этому изображению перенесет вас на следующее, и остановится. При этом скрытое фото станет доступно.

Теперь можно смотреть отдельные «пикчи».

Вариант №3: временный баг

Небольшая неточность в настройках сайта позволит пользователям просмотреть скрытые изображения. При этом может быть закрыт не только альбом, но и страница участника целиком. Требуется воспользоваться следующим руководством:

• Найдите страницу, которая скрыта от вас;
• Нажмите на аватарку и посмотрите, есть ли там еще несколько фотографий, чтобы по ним можно было переходить при нажатии;

• Следующие действия необходимо выполнить крайне быстро;
• Сначала кликните на любой пункт из меню слева;

• Затем резко щелкните на аватарку участника.
• Появится окно со всеми его альбомами и изображениями, также в них будут присутствовать и закрытые фотографии ВК.

Возможно, с первого раза не получится, поскольку вариант требует сноровки и реакции.

Вариант №4: используем сайт Павла Дурова

Ранее данный метод был крайне популярен, потому что его использование не было запрещено. Необходимо перейти на официальный веб-ресурс создателя социальной сети Павла Дурова по адресу durov.ru. Абсолютно все данные всех участников ВК имелись и там, разве что параметры приватности были убраны. Поэтому через него можно было воспользоваться первым методом и поставить айди на чужой.

После решетки нужно вставить айди другого участника, затем войти в нужный альбом и без труда просмотреть все фотографии. Самое главное, по закону ничего нарушено не было. В настоящее время в интернете различные площадки предлагают людям всевозможные программы со «многими удивительными функциями». Не нужно их испытывать, так вы лишь потратить деньги, время и нервы, а результата не будет. Если ни один из указанных в статье методов уже не работает – не ищите другие.