Сервис скрытых фотографий вконтакте. Как посмотреть скрытые фото в контакте через исходный код
Уязвимость ВКонтакте: доступ к превью фотографий из диалогов и скрытых альбомов любого пользователя
Коротко
Была обнаружена уязвимость в мобильной версии сайта vk.com. Она позволяла просматривать превью скрытых фотографий, в том числе фотографии из диалогов пользователей, плюс можно было получить информацию о пользователях лайкнувших это скрытое фото. На данный момент уязвимости уже нет - её устранили полгода назад. ВКонтакте выразили благодарность в размере 700$ (нет, не в голосах).С чего всё начиналось
Во время сессии отвлекаешься на все, лишь бы не готовиться к экзаменам. Так и я, увидев о Bug Bounty программе от ВКонтакте на hackerone.com, вместо подготовки к экзаменам, взялся искать уязвимости. Почему-то сразу потянуло искать уязвимости, связанные с фотографиями скрытыми настройками приватности, и как оказалось - не зря.Поиск уязвимости на полной версии сайта
Предположив, что id скрытой фотографии мне известен (о его поиске - ниже), я начал пробовать подставлять этот id во всевозможные запросы curl"ом - пробовал сохранять скрытые изображения в свой альбом, отмечать себя на них, лайкать, репостить и т.п. ничего не давало положительный результат, пока я не попробовал просто отправить скрытую фотографию себе на стену. Результат был странным - в консоли запрос возвращал корректный результат и на стене появлялся новый пост, но его содержимое было пустым. Как я не старался, на сервере пресекались все попытки отправить скрытое фото на стену - посты были пустыми.Переход на мобильную версию
Затем, я вспомнил этот комментарий и решил попробовать сделать то же самое в мобильной версии сайта.
Отправляем фото на стену:
Curl "http://m.vk.com/wall53083705" -H "Cookie: remixsid=#remixsid" --data "act=post&hash=#hash&attach1_type=photo&attach1=idВладельцаФото_idСкрытогоФото"
# id фотографии состоит из двух частей разделенных знаком подчеркивания idВладельцаФото_idСкрытогоФото
Этот запрос выполнился не корректно, но обновив страницу, я с удивлением обнаружил, что на форме отправки появилась прикрепленная уменьшенная копия фотографии.
Максимальный размер фотографии - 130x130, но этого достаточно, чтобы, например, распознать лица на фото. Попытки получить ссылку на полное фото ни к чему не привели. Видимо, после закрытия этой уязвимости, с мобильной версии сайта прямые ссылки на полный размер просто так уже не получить.
Перебор фотографий
Уязвимость найдена. Для эксплуатации найденной уязвимости нужно получить id атакуемой фотографии.Id фотографии состоит из двух частей: photo12345_330000000 (idВладельца_idФото), вторая часть - растет от фотографии к фотографии, но это не обычный автоинкремент. Так как алгоритм выбора шага неизвестен, будем перебирать с шагом 1.
Для перебора воспользуемся методом api photos.delete . Данный метод для всех существующих фотографий (в том числе и скрытых) вернет error_code : 15. А для всех несуществующих id фотографий вернется единица.
Скорость перебора
Из этой статьи можно узнать, как быстро перебирать фотографии. Да, данные в ней не самые новые, но даже если учесть, что за год фотографий стало в два раза больше, время перебора все равно остается приемлемым.чтобы узнать прямые ссылки на фотки юзера, допустим, за прошлый год, нужно перебрать всего лишь 30 млн (от _320000000 до _350000000) различных вариаций ссылок
Воспользовавшись ускорениями перебора из указанной статьи, фотографии пользователя можно было бы перебрать:
за 1 минуту получить все ваши вчерашние фотографии, за 7 минут - все фото, загруженные на прошлой неделе, за 20 минут - прошлый месяц, за 2 часа - прошлый год.
Отсев открытых/скрытых
Получив ссылки на все (и скрытые и открытые) фотографии пользователя, можно выбрать только скрытые, попробовав получить информацию о фотографии с помощью метода photos.getById. Те фотографии, информация о которых не возвращается этим методом - являются скрытыми.Информация о лайкнувших пользователях
Также можно было узнать пользователей, которые поставили лайки на скрытое фото. Метод likes.getList возвращал всех пользователей, которые добавили заданный объект в свой список мне нравится, даже если этот объект скрыт для пользователя запускающего этот метод.Репорт на hackerone
Мой репорт был открыт в июне. Закрыли уязвимость через два с половиной месяца, ничего мне не сообщив. Еще через месяц я получил ответ что уязвимость подтверждена и закрыта. А еще через какое-то время получил и вознаграждение.P.S.: тем, кто впервые пытается вывести вознаграждение с hackerone.com на новый аккаунт paypal - советую внимательно прочитать условия. Paypal при переводе средств, может без вашего согласия конвертнуть вознаграждение в валюту страны указанной в вашем профиле.
Многие пользователи ограничивают доступ к просмотру своих фотографий, с помощью . Или возможен такой вариант, когда альбомы не опубликованы на странице — вы просто не знаете, как зайти в них (см. ).
Но ведь очень хочется увидеть, что же пользователь скрыл. Давайте разбираться, как посмотреть скрытые фото вконтакте .
Используем id страницы, для просмотра скрытых фотографий
Заходите на страницу к нужному пользователю, и копируйте из адресной строки его id (см. ).
В том случае, если нет цифрового значения id, а вместо него указан выбранный пользователем ник, то нужно сделать следующее.
Вам нужно перейти к просмотру любой части профиля пользователя. Проще всего открыть аватарку.
Теперь вернитесь в адресную строку. Найдите следующую часть кода «z=photo233054» .
Цифры после слова «photo» , и есть id. В данном случае, это вот такое значение — 233054 . Теперь переходим к следующему шагу.
Как посмотреть закрытые фото и альбомы вконтакте
Если вы посмотрите на страницу пользователя, id которого мы только что получили, то увидите, что для просмотра доступна только одна фотография. И нет блока «Фотоальбомы» . Значит все фотки и альбомы скрыты (см. ).
Так давайте уже посмотрим их. Для этого снова перейдите в адресную строку, и наберите вот такой текст:
Https://vk.com/albums***
Как вы видите, здесь более 500-а фотографий.
Есть альтернативный код. Вот он:
Https://vk.com/id***?z=albums***
Вводите его в адресную строку, и вместо звездочек снова пишем id. Далее «Enter» . Результат будет тот же.
Инструкция
В случае если страница с фотографиями заблокирована, то посмотрите на адресную строку (сверху появляется адрес страницы куда вы вошли). В этой строке вы увидите надпись http://vkontakte.ru/id(цифры). Вам необходимо скопировать id пользователя, чьи фотографии вы хотите посмотреть. Например http://vkontakte.ru/id123 , где число в конце ссылки (123) и есть искомое id.
Зайдите на сайт http://susla.ru/ Сразу же вы увидите главную страницу с краткой инструкцией и окном для ввода с надписью "Сюда". В это окошко вставляем или вводим скопированный id и жмем "Смотреть". После нажатия вы перейдете на новую страницу, где высветятся все фотографии искомого пользователя.
Щелкните по появившимся фотографиям. Они будут высвечиваться в полном размере. Вы можете свободно их просматривать. В случае если на странице пользователя нет фотографий, высветится надпись "Нету".
Видео по теме
Обратите внимание
Часто для просмотра чужих страниц и фотографий предлагают воспользоваться различными программами, которые требуют установки. Подобные программы с вероятностью 99% являются вирусами. Ни в коем случае не устанавливайте их, а если установили - немедленно удалите и проверьте ваш компьютер антивирусом
Источники:
- как просмотреть фотоальбомы вконтакте
Инструкция
В меню рядом с аватаром или личной фотографией найдите ссылку «Мои фотографии» (или «Мои фотоы»). Она может находиться в меню сбоку от фото, под ним, реже над ним. В случаях доступ к фотографиям открыт с любой страницы сайта – прямо под шапкой сайта, на левой или правой части страницы может располагаться такая же ссылка.
На странице по этой ссылке будут показаны эскизы всех загруженных вами фотографий, в том числе аватаров и фотографий, загруженных другими пользователями, если вы на них отмечены. Щелкните левой кнопкой мыши по эскизу заглавного кадра одного из ваших фотоальбомов.
Перед вами появятся эскизы всех фотографий альбома. Щелкните по первой фотографии для увеличения. Листайте альбом нажатием левой кнопки мыши или сочетанием “Ctrl-стрелка вправо“.
Видео по теме
Все мы любим показывать друзьям фотографии, снятые во время путешествий и различных памятных событий. Цифровые технологии позволяют загружать фото прямо в сеть – на различные ресурсы, в том числе социальные сети. Но как ограничить круг пользователей, которые могут просматривать ваши фото?
Инструкция
Самые социальные сети в России, исходя из количества аккаунтов и посещений в сутки – это ВКонтакте и FaceBook.Закрыть доступ к альбому ВКонтакте можно следующим образом. Зайдите в «Мои фотографии» на вашей страничке ВК и найдите нужный . Напротив строки «Доступен» выберите «только мне», если хотите, чтобы никто не фотографии из этого . Вариант «только » будет показывать альбом только друзей ВКонтакте, «некоторым друзьям» - только выбранным друзьям из общего списка, «всем, кроме» - всему списку друзей, кроме специально созданного для данного альбома «ограничивающего листа».После того как режим доступа выбран, просто покиньте страницу. Конфиденциальность альбома будет настроена.
В социальной сети FaceBook альбомы закрываются следующим образом. Перейдите к нужному фотоальбому и нажмите кнопку «Изменить информацию об альбоме» внизу экрана. На вкладке «Свойства альбома» в меню «Доступ» выберите подходящее значение конфиденциальности. Однако, несмотря на данное ограничение, пользователи все еще смогут просматривать некоторые ваши фотографии, а именно, фото, загруженные другими пользователями, на которых отмечены вы. Ограничение все еще оставляет возможность другим пользователям просматривать ваши фотографии в других разделах сайта.Обратите внимание, что пользователь, разместивший фотографию, выбирает аудиторию для данного снимка. Если вы не хотите, чтобы ваше фото просматривали его друзья или другие пользователи FaceBook, попросите его удалить фото посредством сообщений.
Видео по теме
Несмотря на то, что социальная сеть VK уделяет огромное внимание защищенности личных данных пользователей, способы проникнуть в личную жизнь других людей все же есть. Впрочем, серьезного доступа к информации о человеке вы в любом случае не получите – лазейки в защите всегда очень ограничены и далеко не всегда работоспособны.
Вам понадобится
- -собственный профиль на сайте vk.com.
Инструкция
Введите в адресной строке браузера durov.ru. Данный проект является ответвлением сервиса vk.com и потому абсолютно легален – на ранних стадиях разработки он являлся тестовой площадкой для технологии vkontakte-API.
Откройте профиль интересующего вас человека. Под аватаром вы увидите три синих полосы, обозначающих разделы: Friends (друзья), Friends Online (друзья в сети) и Photos. Последняя будет открыта только в том случае, если вы можете посмотреть хотя бы один фотоальбом на данной странице. Обратите внимание на то, что в правой части синей строки расположена и активна кнопка «Photos With User». Секрет в том, что вы можете посмотреть «Фотографии, на которых отмечен пользователь» вне зависимости от того, открыты они в свойствах «приватности» или нет – просто кликните по любому из появившихся в строке изображений, и оно развернется на весь экран.
Нужно открыть фотографию, кликнуть непосредственно по картинке правой кнопкой мыши и выбрать пункт «Открыть изображение в новом окне» или схожий. Откроется новая вкладка, в которой будет развернута только картинка. По адресу этой «страницы» (скопировать его можно в адресной строке) любой пользователь может получить доступ к данному изображению. Ссылка будет иметь приблизительно следующий вид: http://cs9713.vk.com/u21472493/-14/z_b8639xxx.jpg
Вы можете использовать скрипт vkopt. Это не вредоносная программа – всего лишь набор «советов» вашему браузеру, при помощи которых он сможет отображать гораздо больше информации о чужих страницах. Так, появится совершенно новое меню: «Проверить на защищенность». По нажатии данной кнопки у вас на дисплее появятся кнопки, при помощи которых можно посмотреть часть данных пользователя, в том числе и фотографии.
Видео по теме
Полезный совет
В интернете вы можете найти достаточно сложное описание доступа к чужим фотографиям при помощи изменения названий в адресной строке. Скрипт vkopt работает по тому же принципу, но делает все автоматически - ничего незаконного в этом нет.
Источники:
- как просмотреть скрытых друзей в контакте
На сайте «ВКонтакте» есть возможность скрыть альбом со снимками от глаз любопытных пользователей (ограничить просмотр для некоторых или же оставить только для себя снимки). Однако возможно и вернуть просмотр изображений.
Вам понадобится
- Компьютер с доступом в интернет, регистрация на сайте «ВКонтакте»
Инструкция
Зайдите на свою страницу на сайте «ВКонтакте», занеся логин и пароль в соответствующие поля. С правой стороны от главной фотографии (аватарки), в списке разделов вашего аккаунта найдите ссылку «Мои фотографии» и нажмите на нее левой кнопкой мышки один раз. Перед вами откроется список ваших альбомов с загруженными снимками. Найдите нужное фотохранилище и кликните по нему мышкой. Попасть к фотографиям вы можете и другим путем – справой стороны на вашей странице под списком друзей и подписок найдите раздел «Фотоальбомы» и зайдите в него, кликнув на надпись левой кнопкой мышки один раз.
Перед вами откроется страница с загруженными снимками. В верхней ее части с правой стороны найдите надпись «Редактировать альбом» и нажмите на нее левой кнопкой мышки один раз. Появится страница с редакцией ваших снимков.
В верхней части страницы, под полем с описанием альбома найдите две категории редактирования – «Кто может просматривать этот альбом?» и «Кто может комментировать фотографии?». Справа от каждой категории нажмите правой кнопкой мышки один раз по имеющейся там надписи. В открывшемся окошке выбора кликните по «Все пользователи» в первом и втором случае.
На сайте «ВКонтакте» вы можете просмотреть также и других пользователей. Для этого в адресной строке скопируйте id-номер аккаунта нужного человека. Затем вставьте этот номер в адресную строку в новой вкладке http://vkontakte.ru/photos.php?id=000000. Вместо «000000» подставьте индивидуальный номер страницы интересного вам человека. После этого нажмите «Enter» на клавиатуре и перед вами появятся альбомы пользователя.
Источники:
- Как открыть закрытые альбомы
Каждый взрослый и даже ребенок десятки и сотни раз фиксировал с помощью фотоаппарата знаковые события своей или чьей-то жизни: первый шаг еще неокрепших ножек, падение с велосипеда, хоровод вокруг именинного торта, выпускной бал, предложение руки и сердца. Безусловно, позировать и снимать – занятие увлекательное, а вот сидеть долгими часами, вклеивая «лучшие моменты» в альбом, – дело, увы, затратное. В том смысле, что требует терпения. Благодаря порталу Wikers, любой пользователь Интернета, независимо от местопребывания, отныне может быстро, качественно и с фантазией оформить личную фотокнигу. Иными словами, Wikers – это сервис по изготовлению персонифицированных полиграфических продуктов, таких как фотокниги, фотокалендари, постеры, открытки, журналы.
Вам понадобится
Инструкция
Выберите нужный шаблон фотокниги. На текущий момент на сайте доступны 6 шаблонов, соответствующих наиболее популярным размерам альбомов.
Загрузите и расставьте фотографии в специальные рамки, добавьте текст.
Следующий шаг – это просмотр вашей фотокниги. Нажимаем кнопку "Просмотр" в правом нижнем углу экрана. Если вам все нравится, то можно переходить к оформлению заказа. Если необходимо еще что-то изменить, то нажмите на кнопку "Редактировать".
ВКонтакте существует множество пабликов, таких как: 90-60-90, 40 КГ, Спортивные девушки. В данных пабликах пользователи выкладывают фотографии своих фигур, фотографии «до» и «после» диеты / занятия спортом и прочее. Общее количество фотографий в альбомах этих групп порой превышает десятки тысяч. Выкладывая фотографии, многие не задумываются о последствиях, наивно пологая что если кинуть свою фотку в тысячи подобных, то никто ее и не найдет. Под катом описан процесс поиска фотографий конкретного пользователя в группах.
Постановка задачи
- uid - ID пользователя ВКонтакте
- gid - ID группы ВКонтакте
Необходимо:
- Найти все фотографии пользователя uid, опубликованных в группе gid
- Определить в каком альбоме находится каждая фотография
API ВКонтакте
В контакте отсутствует метод прямого получения фотографий, опубликованных конкретным пользователем в конкретной группе. Однако, добиться нужного результата можно по следующей схеме:
1. Получаем список альбомов, используя метод photos.getAlbums:
VK.api("photos.getAlbums", { gid: gid }, function(result){ if (result.response){ // Список альбомов лежит в массиве result.response // Идентификатор альбома находится в поле aid }else{ // Не удалось получить список альбомов } });
2. Получаем список фотографий, находящихся в альбоме (aid), используя метод photos.get:
VK.api("photos.get", { gid: gid, aid: aid }, function(result){ if (result.response){ // Список фотографий лежит в массиве result.response // ID владельца фотографии содержится в поле owner_id // ID фотографии содержится в поле pid }else{ // Не удалось получить список фотографий в альбоме } });
3. Получаем URL фотографии, используя метод photos.getById
VK.api("photos.getById", { photos: pids }, function(result){ if(result.response){ for(var i=0; i Перебирать все группы довольно длительный процесс и запускать его каждый раз при поиске фотографии конкретного человека дело не целесообразно. Для ускорения поиска достаточно проиндексировать все фотографии путем добавления индекса во внутреннюю таблицу. После индексации групп, достаточно выполнить запрос SELECT * FROM table WHERE uid = uid
Используя метод friends.get, можно получить список друзей, а затем произвести поиск по БД с целью получения фотографий друзей: VK.api("friends.get", { user_id: uid }, function(result){ if(result.response){ // Далее производим поиск фотографий по ID друзей } });
Сегодня мы расскажем вам, уважаемые читатели, об одной крайне необычной фишке, которая присутствует в ВК — поиске похожих фотографий, когда вы можете найти пользователей, у которых в профиле загружено такое же изображение. Зачем это нужно, спросите вы? Существует две основных причины. Стоит отметить, что сервисов поиска по фотографиям немало, например, он есть у того же Google, но в данном случае поиск осуществляется не по всему интернету, а только по ВКонтакте. Давайте приступать к поиску. Допустим, что нам необходимо найти клонов или пользователей, у которых загружена определенная фотография. Первым делом необходимо открыть картинку, которую мы ищем. Если она не загружена в ваш фотоальбом, загрузите ее. Открываем картинку, например: Смотрим в адресную строку браузера. Вы должны увидеть адрес примерного такого вида: https://vk.com/photo********_384******
. Под звездочками photo********
скрывается ваш , а цифры 384******
, которые находятся после нижнего подчеркивания, это номер фотографии. Скопируйте это адрес, но без https://vk.com/, то есть у вас должно получиться photo********_384******
. Закрываем вкладку или оставляем ее открытой и открываем новую, заходим на страницу ВК и выбираем раздел «Мои новости» в меню. Вы увидите новостную ленту: Если рядом с подразделом «Лента» находится пункт «Фотографии», пропускаете этот шаг. Если пункт отсутствует, нажмите на крестик и добавьте пункт «Фотографии». Нажимаем на пункт «Фотографии». Появится строка поиска «Поиск по фотографиям». Пишем в строку слово copy:
и добавляем ссылку на фотографию, которую мы скопировали ранее, то есть у вас должно получиться примерно следующее: copy:photo********_384******
. Обратите внимание, что звездочки — это всего лишь пример, под ними находятся id и порядковый номер фотографии! Например, если мы возьмем для поиска определенную фотографию Павла Дурова, то в строке нужно написать, например, copy:photo1_327778612
, где photo1 — id пользователя (Дурова в данном случае), а 327778612 — порядковый номер фотографии. Затем нажимаем на клавишу Enter. В нашем случае удалось обнаружить 7 одинаковых фотографий. Если нажать на каждую из них, то можно будет увидеть, какой пользователь или в какой паблик было загружено изображение. Вероятно, поиск осуществляется только по тем фотографиям, которые находятся в открытом доступе. Закрытые от просмотра картинки нам обнаружить не удалось.Как ускорить поиск?
В таблице достаточно содержать 3 поля:Поиск фотографий друзей
Ссылки
Ищем пользователя по картинке
