Un autre jour, j'étais assis devant l'ordinateur et je ne savais pas quoi faire. En parcourant mon flux, je suis déjà revenu sur les publications d’hier que j’avais déjà vues. Quand je suis allé sur ma page, je me suis dit : « Mon Dieu, seulement 160 abonnés. Comme c'est peu..." Et la question s’est immédiatement posée : « Comment les augmenter ? Il est clair que la tricherie viendra à l’esprit de tout le monde. Mais cela nécessitait soit de l'argent, soit de passer beaucoup de temps à s'abonner, à republier ou à aimer quoi que ce soit - ce n'était pas une option.
Plus tard, avant de me coucher, une idée m'est venue sur la façon de procéder. L’idée était un lien viral que presque tous les internautes recevraient.
En me réveillant le matin et en buvant du café, j'ai commencé à mettre en œuvre cette idée. Ce n'est plus un secret pour beaucoup que pour effectuer des requêtes au nom d'un utilisateur dans l'API VK, vous devez disposer de son access_token. Mais! Sur le site lui-même Cette clé n'est pas nécessaire pour simplement tester. Avant de commencer à créer ce Super Virus, je voulais juste vérifier sa fonctionnalité.
Pour le test j'ai utilisé la méthode amis.ajouter et avez entré votre identifiant dans le champ user_id. En faisant cela, la barre d'adresse deviendra quelque chose comme ceci :
J'ai raccourci ce lien via vk.cc et l'ai laissé dans les commentaires de deux groupes populaires avec une description alléchante. Une demi-heure plus tard, j'avais déjà 100 abonnés (il y en aurait eu plus, mais mon commentaire a été supprimé et j'ai été banni). Après cela, j’ai eu confiance que cela fonctionnerait et j’ai commencé à le créer.
VKontakte limite l'accès à l'API d'une IP à un intervalle de 5 secondes afin que le serveur ne surcharge pas. Et pour résoudre le problème des demandes fréquentes, ils ont créé une méthode exécuter. Cette méthode permet d'appeler plusieurs méthodes simultanément tout en sauvegardant l'algorithme, c'est ce que j'ai utilisé.
Ce virus repose principalement sur la crédulité des gens, en deux mots : « ingénierie sociale ». Chacun de nous suivra probablement le lien dans un message de son ami - c'est exactement ce dont je voulais asservir le monde pour qu'il en profite.
Il m’a fallu environ une journée pour créer le virus, car j’ai rencontré quelques obstacles. Nous en reparlerons plus tard. Le virus était censé fonctionner comme ceci :
- L'utilisateur a suivi le lien
- La méthode obtient une liste de tous les amis et les trie par note
- Envoie un message avec le texte « Voir /* lien */ »
- Le message est supprimé de l'expéditeur
- S'ajoute en tant qu'ami et/ou s'abonne aux groupes spécifiés
- Les amis qui ont reçu le message suivent le lien
- Commençons depuis le début
Var a = API.friends.get(( // Méthode pour obtenir une liste de tous les amis "order": "hints" // Paramètre de tri par note )).items; // Récupère uniquement la liste var b = 0; // Variable pour la boucle var d = 0; // Variable pour l'identifiant du message while (a[b])( d = API.messages.send(( // Méthode d'envoi d'un message. Renvoie l'identifiant du message "user_id": a[b], // destinataire "message": "Regardez /* lien */ " // texte du message )); API.messages.delete(( // Supprime un message par son identifiant "message_ids": d )); (++ b ou b++ ne fonctionne pas) ) API.friends.add(( "user_id": "mon identifiant" ));
Ayant reçu le lien, je suis allé avec plaisir le tester sur mon faux profil. Mais ce n'était pas là. Après avoir cliqué sur le lien, j'ai reçu l'erreur 12 : Erreur de syntaxe. Le personnage & n’était pas attendu. C'est là que mes obstacles ont commencé.
Il s'avère que le serveur de protection XML traduit tous les caractères. Et le signe des guillemets doubles " a été simplement traduit par " et la console
a donné une erreur. Les guillemets simples ne sont pas traduits, mais il ne les acceptera pas, car la syntaxe provient de JSON.
Puisqu'il s'agit de ma première tentative de travail avec une vulnérabilité (comme cet article), cela m'a pris un peu plus de temps. Les cinq premières heures ont été consacrées à comprendre que les clés peuvent être transférées sans guillemets, et qu'il n'est pas non plus nécessaire d'écrire des chiffres entre guillemets. Ceux. tu peux le faire:
API.friends.add(( user_id : 1234567 ));
Bon, la moitié du problème a été résolu. Il ne restait qu'un seul problème : je devais trouver comment transmettre le texte du message et le mot « indices » pour le tri.
Pour référence! Pourquoi était-il nécessaire de passer le paramètre tips ?
Le fait est que même sur la page de test de méthode, en cas de demande suspecte (par exemple, envoi d'un message à partir de 3 ou 7), vous devez saisir un captcha. Ce n’est pas un fait que le message sera envoyé à la bonne personne. Par conséquent, transmettre ce paramètre triera la liste de sorte que les trois premiers de la liste soient 90 % plus susceptibles de suivre le lien.
Pour résoudre le dernier problème, j'ai pensé à utiliser des expressions régulières ou quelque chose comme ça pour remplacer le chiffre 0 dans une chaîne. Je ne suis moi-même qu'un développeur Web débutant et je ne savais pas comment faire, j'ai donc posé la question sur le grille-pain. Ayant reçu deux réponses dont j'avais besoin avec des solutions différentes, j'ai immédiatement décidé de les utiliser. Et là encore le problème...
L'API VKontakte n'est pas JavaScript et ne prend pas en charge ses fonctions comme replace() ou toString(). Et en général, il ne prend en charge rien de JS, à l'exception de var, return, while, if, else, des tableaux et des opérateurs de comparaison.
Je me suis retrouvé à nouveau dans une impasse et je ne savais pas quoi faire. J'en ai parlé à mes collègues programmeurs en leur demandant de l'aide. Avec les mots "C'est tout simplement génial, mec!" ils ont décidé de m'aider et sont allés fouiller dans la documentation de l'API
Il m'a fallu beaucoup de temps pour comprendre comment résoudre ce problème. Il s'est fait tard et je me suis couché. Avant de me coucher, j'ai de nouveau eu une excellente idée pour résoudre ce problème.
C'est encore le matin. Après avoir bu ma dose de café du matin, la première chose que j’ai faite a été de continuer à transmettre mon virus.
La solution était assez simple. Après tout, lors du passage de nombres ou de variables à partir de méthodes, il n'est pas nécessaire de les écrire entre guillemets.
J'avais besoin de mon faux profil. Là j'ai fait deux posts différents avec les textes suivants :
- Voir /* lien */
- astuces
Varb = 0 ; // Variable pour la boucle var d = 0; // Variable pour l'identifiant du message var m = API.wall.get((owner_id: id, // nombre d'identifiants de fausse page : 1 // renvoie seulement 1 message )).items.text; // récupère uniquement le texte de l'article var h = API.wall.get((owner_id: id, // id du faux nombre de pages: 1, // renvoie seulement 1 post offset: 1 // décale les messages de 1 ) ).items.text ; // récupère uniquement le texte de l'article var a = API.friends.get(( // Méthode pour obtenir une liste de tous les amis dans l'ordre : h // Paramètre de tri par note )).items; // Récupère uniquement la liste while (a[b])( d = API.messages.send(( // Méthode d'envoi d'un message. Renvoie l'identifiant du message user_id : a[b], // message du destinataire : m // message text )) ; API.messages.delete(( // Supprimer un message par son identifiant message_ids: d )); b = b + 1; // Augmenter b de 1 (++b ou b++ ne fonctionne pas) ) API. amis.add(( "user_id": "mon identifiant" ));
Après avoir reçu le lien, je l'ai vérifié pour voir s'il fonctionne et - hourra ! Tout a fonctionné comme il se doit. Une demande d'ami a été envoyée à partir d'une fausse page et des messages ont été envoyés avec succès aux 7 premiers amis de l'évaluation. Après avoir compressé le lien et l'avoir mis sur le premier post, je me suis préparé pour le Big Boom avec un sourire satisfait !
Pour savoir également combien de personnes ont suivi le lien, j'ai compressé le lien vers un fichier php sur mon hébergement, qui a enregistré la visite dans la base de données, et redirigé vers la méthode avec le code.
Pour l'intrigue, je n'ai pas actualisé la page à chaque fois, mais j'ai simplement quitté VK immédiatement après un commentaire. Je suis revenu environ une heure plus tard et, en regardant le nombre d'entrées dans la base de données, j'ai ressenti un élan de bonheur. La joie n'avait pas de limites ! Plus de 5 000 transitions. « Et cela en seulement une heure ! Que se passera-t-il dans deux ? » - Je me suis posé une question. Après tout, c'était ma première expérience de hacking.
Décidant de voir personnellement combien s'était accumulé sur la page, je suis allé sur le site et j'ai vu jusqu'à 3 nouveaux abonnés ! Je ne peux pas dire que je n'ai pas été surpris. Je n'ai rien compris... Il y avait plus de 5000 lignes dans la base de données, où presque tout le monde avait une IP individuelle, et seulement 3 abonnés, j'ai commencé à penser que je n'étais en fait pas aussi intelligent que je le pensais 2. il y a quelques minutes, et que de telles fraudes, VK dispose déjà d'une protection. Avec de telles pensées, je suis parti triste.
Cela fait déjà 2 jours. Avant de me coucher, j'ai décidé de consulter mon site Web. J'ai consulté la base de données et, par curiosité, j'ai regardé le tableau pour enregistrer les statistiques. Il y a déjà eu plus de 25 000 visites via le lien viral, et il y a moins d'abonnés car... Ceux qui étaient un test pour moi au début se sont également désabonnés.
Encore une fois, avant de me coucher, j'ai enfin compris pourquoi il n'y avait pas de nouveaux abonnés, et le nombre de clics augmentait (quelqu'un, écrivez un article sur pourquoi les décisions viennent avant de se coucher ? Sinon, je l'écrirai moi-même).
Tout était dans le code. La méthode d'exécution exécute le code, en enregistrant l'algorithme, et la méthode d'ajout d'un ami était à la toute fin. Cela n'a pas fonctionné car d'autres méthodes n'ont pas été exécutées tant que le captcha n'a pas été saisi. Parce que toutes mes "victimes" avaient plus de 8 amis, naturellement le captcha s'est déclenché, et les utilisateurs, se doutant de quelque chose, ont simplement fermé l'onglet. L'enregistrement a été sauvegardé, les messages ont été transmis, mais il n'y avait plus d'esclaves pour les abonnés.
En sautant immédiatement du lit, j'ai décidé de régler ce problème rapidement, afin qu'au matin, il y ait déjà plus de dix mille abonnés. Après avoir modifié le fichier php de redirection, je me suis couché avec des pensées heureuses pour demain.
Le matin arrive et je consulte mon profil sans même boire mon café. Hourra! Il y a moins d'abonnés...
J'ai encore été extrêmement surpris. Cela devrait toujours fonctionner. Cette fois j'ai décidé de vérifier la fonctionnalité du lien sur un vrai profil. Après avoir supprimé le code pour supprimer le message, j'ai suivi le lien généré. Il s'avère que les développeurs ont déjà corrigé cette vulnérabilité. Le code dans la barre d'adresse pour la transition ne fonctionnait plus
Je ne sais pas comment ils l’ont compris eux-mêmes. Je suis un génie ici ! Soit le message leur est parvenu, soit l'un des programmeurs que je connaissais a secrètement parlé de la vulnérabilité, quelle qu'elle soit, je ne le saurai jamais.
J'étais quand même content, car pour la première fois j'ai pu trouver une vulnérabilité dans un grand réseau. C'est peut-être normal pour d'autres, mais pour moi, c'était quelque chose de spécial.
Mots clés : API VKontakte, vulnérabilités, ingénierie sociale
Arrêter Continuer
Le nombre de programmes existants permettant d’accéder au compte de quelqu’un d’autre peut vous faire tourner la tête. Google et Yandex, pour la requête de recherche correspondante, proposent de nombreux liens, rivalisant les uns avec les autres et promettant le moyen le plus rapide et le plus sûr de pirater VK sans virus. Mais peut-on leur faire confiance ?
La plupart de ces applications fonctionnent contre vous. Une fois installés sur votre ordinateur, ils étendent instantanément leurs tentacules et volent vos mots de passe, simulant uniquement l'activité de piratage d'un compte tiers. Par conséquent, avant de vous précipiter pour installer quelque chose de très coloré et tentant, étudiez attentivement les critiques du programme. Les véritables informations sont cachées dans les pages éloignées des moteurs de recherche.
Un virus fiable pour pirater le contact d'un autre utilisateur
Le virus le plus efficace pour pirater un contact est le cheval de Troie omniprésent. Comme le mythique cheval de Troie, il s'attire les faveurs d'un autre programme. Les créateurs du fichier malveillant utilisent de nombreuses astuces astucieuses, promettant de rechercher des vulnérabilités, d'accélérer l'ordinateur ainsi que des émoticônes et des autocollants uniques. Il s'agit d'un hack VK très simple et même quelque peu naïf, mais, étonnamment, il fonctionne vraiment.
Envoyez un tel virus à la personne dont vous souhaitez pirater le compte. Et bientôt, vous aurez accès à sa page ou demanderez à l'administration VKontakte de bloquer sa page. Une manière astucieuse de se venger.
Aujourd'hui, de plus en plus souvent, les utilisateurs se plaignent du fait que l'accès au réseau social VKontakte est bloqué par divers types de programmes antivirus. Ce problème est vraiment pertinent et est dû au fait que la plupart des gens ne savent tout simplement pas comment supprimer le virus VKontakte. Apprenons donc comment identifier et résoudre ce problème, et cet article vous y aidera.
Suppression du virus VKontakte
Le plus souvent, une infection virale se produit lorsqu'un utilisateur clique sur un lien malveillant. Quelque temps après l'infection, lorsque vous vous connectez à un réseau social (et parfois pendant une session), vous verrez quelque chose comme ceci.
Le contenu de l'inscription peut être différent, mais vous devez comprendre qu'il s'agit d'une pure arnaque. De cette façon, les escrocs tentent de gagner de l'argent avec vous, car en entrant votre numéro de téléphone dans le formulaire, vous vous abonnerez très probablement automatiquement aux spams payants. Il est très important de ne saisir aucune donnée sur aucun des formulaires. Le virus lui-même remplace le Vk.com dont vous avez besoin dans la barre d'adresse de votre navigateur par quelque chose dont les escrocs ont déjà besoin et par un nom de domaine très similaire, par exemple vksupp.ru.
Dans le même temps, les fraudeurs ont la possibilité de se faire passer pour le service d'assistance VKontakte. Malheureusement, même les antivirus modernes ne peuvent pas détecter un code malveillant s’il a déjà pénétré votre ordinateur.
Façons de résoudre le problème
Comme mentionné ci-dessus, un antivirus ne peut pas détecter un programme malveillant, ce qui signifie que vous devrez le gérer manuellement. Mais n’ayez pas peur, le processus n’est pas compliqué et ne prendra pas beaucoup de temps. Pour commencer, ouvrez votre disque local C. Ouvrez le dossier etc., qui se trouve à l'adresse suivante.
Dans ce dossier, vous devez rechercher et ouvrir le fichier Hôtes.
Vous pouvez le faire à l'aide d'un bloc-notes en le sélectionnant dans la liste des programmes proposés. Le texte suivant apparaîtra devant vous.
Veuillez vérifier attentivement le contenu de votre fichier avec le contenu affiché dans l'image. Ils ne devraient pas être différents. Sélectionnez tout ce qui n'est pas nécessaire et appuyez sur la touche sans aucun doute Supprimer. Après cela, vous devez redémarrer votre ordinateur et continuer à profiter de la communication sur les réseaux sociaux.
Difficultés possibles pour résoudre le problème
1. Il arrive que le fichier Hosts ne puisse pas être ouvert. Des erreurs se produisent ou tout simplement rien ne se passe. Vous pouvez résoudre ce problème en démarrant votre ordinateur en mode sans échec.
