В декабре 2019 года, спустя несколько месяцев после того, как я занялся хакингом по программе Google VRP, я обратил внимание на YouTube. Мне хотелось найти способ получать доступ к закрытым (
Private) видео, которыми я не владею.
При загрузке видео на YouTube можно выбрать один из трёх параметров доступа. «Открытый» (
Public) позволяет находить и просматривать видео любым пользователям, «Доступ по ссылке» (
Unlisted) позволяет просматривать видео только пользователям, знающим ID видео (URL), «Ограниченный доступ» (
Private) позволяет просматривать видео только вам или другим аккаунтам, которым дано на это разрешение.
Первым делом я загрузил видео на свой второй тестовый канал аккаунта YouTube и переключил параметры доступа видео на
Private, чтобы его можно было использовать для тестирования.
(Помните, что тестирование всегда нужно проводить на тех ресурсах/аккаунтах, которыми вы владеете!) Если я смогу найти способ получить доступ к видео с первого тестового аккаунта, то мы выявим наличие бага.
Я открыл YouTube под первым аккаунтом, проверил каждую функцию и нажал на каждую кнопку, которую смог найти. Каждый раз, когда я видел HTTP-запрос с указанием ID видео, я заменял его на тестовое видео с доступом
Private, надеясь, что так утечёт какая-нибудь информация о нём, но успеха не добился. Похоже, что основной веб-сайт YouTube (по крайней мере, все его конечные точки, которые я протестировал) всегда проверяет, находится ли видео в состоянии
Private, и когда пытается выполнить запрос к целевому закрытому видео, он всегда возвращает ошибки наподобие
This video is private!.
Мне нужно найти другой способ.
