В начале 2010-х рунет переживал бум социальных платформ. «ВКонтакте» активно рос, «Одноклассники» сохраняли свою аудиторию, а наша излюбленная Mail.ru искала новые ниши.

Одной из них стала — Футубра. Она копировала формат Twitter, который уже доказал жизнеспособность микроблогов на Западе.

Mail.ru позиционировал «Футубра» как: «Twitter с русской душой и мультимедийном контентом». Увы, эксперимент не удался и закончил существование уже через год.

Всем привет! На связи TeamKomet. Недавно мы решили из любопытства заняться реверс-инжинирингом не безызвестного мессенджера TamTam. До нас дошли слухи о возможной уязвимости, позволяющей получить список создателей и администраторов любого канала. Что ж, выше признать.

⚙️ Начало раскопок: WebSocket и Opcode

Мы принялись за работу и в первую очередь сосредоточились на проверке Opcode'ов в WebSocket.

Первым делом нашли некий список с номерами от 10, 100, 123 — сервер тестово отвечал, но это тупик — с ним ничего не получилось.

Тогда мы сменили тактику: что, если попробовать добавить в запрос параметры, которых изначально нет?

Погрузившись в JavaScript, мы обнаружили интересный объект, который централизованно отправлял через opcode для обмена информацией. Мы начали методично изучать его методы, и не зря.