Comments 26
правильно я понимаю, что:
да? :) можно приступать к написанию статьи?
P.S.: я не особо пользователь вконтакте
Способы анонимизации руководителей сообществ и приложений «Вконтакте»
1) регаем подставное лицо
2) через него всё заливаем/публикуем приложение/whatever
3) делегируем все права живому человеку на другом акке
4)…
5) ПРОФИТ
да? :) можно приступать к написанию статьи?
P.S.: я не особо пользователь вконтакте
Вопрос: зачем?
- Контакты многих сообществ — это и есть модераторы и редакторы
- Писать им в личку про рекламу? Будет бан
Есть приватные группы, например. Не вступая в такие, доступна часть информации — обложка группы. А уж блок руководителей точно не виден.
А есть группы, где руководители и модераторский состав нарочно скрывают.
А есть группы, где руководители и модераторский состав нарочно скрывают.
В среде админов вполне принято использовать личные email'ы для технических вопросов. Потому что работодатель меняется (вместе с емейлом), а техпроблемы остаются. Если видишь емейл человека в коммите или в whois, то с ним можно связаться и спросить «зачем так». А если там va_pupkin@company.com, то найти этого человека потом почти невозможно.
Ага. И вот получает новый сотрудник вопрос:
«Привет, я по поводу твоего коммита в foobar-esoteric, 184c9400855. Ты там явно мог бы использовать матричную параметризацию теста (тесты выше и ниже её используют), но в этом случае ты зачем-то используешь полиморфную фикстуру, которая вместо того, чтобы манкипатчить сокет через httpretty, зачем-то поднимает реальный веб-сервер. Зачем это?».
И вот «новый сотрудник» отвечает «а я новый сотрудник и я в душе не люблю что тут написано».
А если бы был персональный емейл, ответ был бы: «потому что когда я попробовал использовать обычный подход с кассетами оно выдавало false positive из-за того, что в сертификате фигурирует сегодняшняя дата, а в кассете записано то, что было в момент написания, но в какой-то момент протухает, и всё ломается. Так что вместо того, чтобы писать простыню патчинга сертификатов, я просто поднимаю на lo сервер, который внутри использует ту же кассету, но записанную по http, а все ssl-детальки берутся в райнтайме и всегда валидны».
Почувствуте разницу.
И этот вопрос может возникнуть не только у посторонних людей, но и у (бывших) коллег сотрудника.
Да, корпоративные фрики скажут, что это нельзя и всё плохо, но технарям так удобнее и эффективнее.
«Привет, я по поводу твоего коммита в foobar-esoteric, 184c9400855. Ты там явно мог бы использовать матричную параметризацию теста (тесты выше и ниже её используют), но в этом случае ты зачем-то используешь полиморфную фикстуру, которая вместо того, чтобы манкипатчить сокет через httpretty, зачем-то поднимает реальный веб-сервер. Зачем это?».
И вот «новый сотрудник» отвечает «а я новый сотрудник и я в душе не люблю что тут написано».
А если бы был персональный емейл, ответ был бы: «потому что когда я попробовал использовать обычный подход с кассетами оно выдавало false positive из-за того, что в сертификате фигурирует сегодняшняя дата, а в кассете записано то, что было в момент написания, но в какой-то момент протухает, и всё ломается. Так что вместо того, чтобы писать простыню патчинга сертификатов, я просто поднимаю на lo сервер, который внутри использует ту же кассету, но записанную по http, а все ssl-детальки берутся в райнтайме и всегда валидны».
Почувствуте разницу.
И этот вопрос может возникнуть не только у посторонних людей, но и у (бывших) коллег сотрудника.
Да, корпоративные фрики скажут, что это нельзя и всё плохо, но технарям так удобнее и эффективнее.
Ааа, понятно.
Такой вариант я не предусмотрел. Я не думаю, что это может быть интересно обычному пользователю.
Только органам, сыщикам и кул-хацкерам, т.е. я не назвал бы это уязвимостью анонимности. Анонимности не существует %-)
Не знаю, как сейчас, а не так давно можно было сравнительно легко деанонимизировать и авторов анонимных постов с картинками.
В URL картинки была часть, которая указывала на три последних цифры ID пользователя. Далее мы через API выбираем всех подписчиков паблика, фильтруем их по этим цифрам, по полу и примерно возрасту. Далее сортируем оставшихся по дате последнего появления в онлайне.
Как правило, один из первых юзеров в списке и есть наш искомый автор. У меня где-то даже скрипт лежал, который автоматизировал весь процесс.
В URL картинки была часть, которая указывала на три последних цифры ID пользователя. Далее мы через API выбираем всех подписчиков паблика, фильтруем их по этим цифрам, по полу и примерно возрасту. Далее сортируем оставшихся по дате последнего появления в онлайне.
Как правило, один из первых юзеров в списке и есть наш искомый автор. У меня где-то даже скрипт лежал, который автоматизировал весь процесс.
Как вы получали прямые ссылки на видео- и аудиозаписи, если не секрет? Попробовал просматривать код страницы и не нашел.
То есть, они сначала поставили репорту статус Traiged, а через 6 месяцев сказали такое не примут?
Да, передумали.
Медиаконтент может быть добавлен через поиск или подгружен по прямой ссылке — в таком случае отобразится id пользователя, никак не связанного с руководителями сообщества. Мы не считаем это уязвимостью.
Я правильно понимаю, что в случае, если видео загружено анонимно от имени группы, то при его открытии под ним будет указано само сообщество, а в случае, если было добавлено через поиск — человек/сообщество, которые его загрузили изначально? То есть, в случае с видео, таким образом получится фильтровать те видео, которые были действительно загружены администраторами?
Я не помню почему, но я думал, что после загрузки видео в сообщество от подписчика в отправителе должно отображаться сообщество, а не подписчик, поэтому я сделал уточнение про ограничение на загрузку. Сейчас проверил, в отправителе отображается подписчик.
Выходит, если в отправителе сообщество, то видеозапись загрузил руководитель.
Выходит, если в отправителе сообщество, то видеозапись загрузил руководитель.
Мне ваша статься помогла, еее.) Я 4 года пытался узнать админа одного паблика.)) Хоть я давно работаю с апи, про последние 3 цифры не знал раньше.
У меня была похожая история https://habrahabr.ru/post/320408/.
В очередной раз убеждаюсь, что баг баунти vk нужно обходить стороной и не тратить время на поиск уязвимостей vk.com.
В очередной раз убеждаюсь, что баг баунти vk нужно обходить стороной и не тратить время на поиск уязвимостей vk.com.
Насчет тратить или не тратить время не знаю. Если проблема серьезная, то ее быстро исправят и отблагодарят. Мне за эти закрытые репорты не обидно, т. к. их не стали исправлять.
Один раз было обидно. Была возможность просмотреть на старых страницах полный email адрес, который в настройках скрыт, если к странице был получен доступ. В итоге проблему устранили, а мне ответили:
На моей странице и на странице моего друга контактный email совпал с email адресом, который скрыт в настройках. И я уверен многие указывали email адрес, на котором зарегистрирована страница как контактный.
http://www.pskov.aif.ru/society/education/755810, если бы руферы знали о проблеме, то они бы возможно узнали email адрес Дурова.
Один раз было обидно. Была возможность просмотреть на старых страницах полный email адрес, который в настройках скрыт, если к странице был получен доступ. В итоге проблему устранили, а мне ответили:
Это контактный email, который раньше выводился в открытом виде в профилях.
На моей странице и на странице моего друга контактный email совпал с email адресом, который скрыт в настройках. И я уверен многие указывали email адрес, на котором зарегистрирована страница как контактный.
http://www.pskov.aif.ru/society/education/755810, если бы руферы знали о проблеме, то они бы возможно узнали email адрес Дурова.
После долгого перерыва снова приветствуем сообщество Хабра в возрождённом блоге ВКонтакте и будем рады обратной связи. #324722
Прекрасный пример обратной связи от сообщество Хабра. Ожидаем теперь обратной связи от вас, apiwoman
Читаю уже третью статью из этой серии(#320408 , #274215), и у меня возникает вопрос, — вам вообще нужен BugBounty?
Был в танке, спасибо, просветили.
Sign up to leave a comment.
Способы деанонимизации руководителей сообществ и приложений «Вконтакте»