Как стать автором
Обновить

Комментарии 20

НЛО прилетело и опубликовало эту надпись здесь
А я уже думал это я такой глупый, что перечитываю предложения по три раза.
Я стараюсь писать коротко. Как написать тоже самое но другими словами, например? Я может пишу с плохой грамматикой но технические вещи называю довольно внятно же
НЛО прилетело и опубликовало эту надпись здесь
>1. Получение frame location после редиректа. Позволяло получить те же самые результаты. После исправления скрипты с другого домена могут получить только тот location, который установили сами, а не полученный в результате редиректа.

Наверно это было очень давно? сейчас такой глупой ошибки по прочтению src после редиректа уже и не встретишь.

>2. Брутфорс посещенных ссылок через другой цвет. Исправили возвращая в JS всегда цвет непосещенной ссылки, независимо от ее текущего состояния.

Не совсем связано, вы например не вычислите ID по посещенным ссылкам.

Проблема в том что это может сломать текущие скрипты. Сейчас если в вконтакте какой то скрипт не подгрузился то страница сама об этом узнает и выдает сообщение об ошибке / перезагружается. Так это будет по сути «обман». Но другого способа я и не вижу.
НЛО прилетело и опубликовало эту надпись здесь
Не совсем связано, вы например не вычислите ID по посещенным ссылкам.
Открываем m.vk.com/photos, она редиректит пользователя на m.vk.com/photos12345. Теперь можно перебрать ссылки вида m.vk.com/photos[\d+] и найти, какая из них фиолетовая.
Во первых этот баг исправлен а во вторых фиолетовыми будет пара сотен тк вся история браузера
С чего бы всей истории быть фиолетовой? Вы часто заходите с компьютера на мобильные страницы с фотографиями других пользователей?
НЛО прилетело и опубликовало эту надпись здесь
Да, баг полезный, но уже не рабочий.
Интересное использование. Относительно Facebook можно узнать залогинен ли юзер и через API.
>сможем детектить ID пользователя на многих ресурсах
Можно пример такого ресурса? У FB и ВК, напремер, нет редиректа со страницы юзера.
У вк — m.vk.com/photos
У фб facebook.com/profile.php
Я имел ввиду обратный, чтобы с моей m.vk.com/photos12345 был, а с чужой m.vk.com/photos12346 не было.
>Мы можем узнать редиректит ли конкретный URL на другой
Куда редиректит мы же не увидим, т.е. для ВК перебрать ID не получится? Или я не так понял?
Приведенная в посте методика не показывает же отличие между m.vk.com/photos12345 и m.vk.com/photos12346
Для ВК это тяжело по причине 100 миллионов айдишников. Если айди в пределах миллиона то можно перебрать. Для ФБ тоже, там лучше использовать готовый «пул» потенциальных вариантов. Скажем, из тысячи, быстро найдет кто вы.
Как с помощью данной методики отличить, что m.vk.com/photos12345 это id юзера, а m.vk.com/photos12346 — нет? Они же одинаково блокируются?
> data:, URL как это сделали с похожим моим багом в XSS Auditor

Тут я не стал вдаваться в подробности, но суть была в том что мы шлем «банч» из 1000 разрешенных урлов 1...1000 и смотрим заблокировало или нет. Если заблокировало значит ищем дальше. Если загрузилось значит урл в нашем «банче» и мы его дробим дальше по 100. В общем виде это map-reduce bruteforce
Firefox 27 (linux), пишет Not authorized, хотя залогинен и на фейсбуке, и на гитхабе.
Аналогино. Windows FF26 и Opera 12 — не работает. Chrome 32 — работает.
Стиль изложения конечно нужно менять. Но всеравно спасибо за полезную информацию. Пойду вставлять CSP себе на сайт.
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации

Истории