https://vk.com/dev/api_requests
Дальше сам, пожалуйста. ЯД свой в анус себе засунь.
Дальше сам, пожалуйста. ЯД свой в анус себе засунь.
Бамп
>access_token и sig (ее акаунта?)
Нет, не аккаунта, а запроса.
>Можно ли с ними получить доступ к сообщениям?
Можно получить только ответ на тот запрос, который поймал полностью.
>как инициировать повторный логин на VK апке человеком посредине
Отправляешь в ответе инструкцию сбросить куки, приложение авторизируется, ты сосёшь хуй, потом что авторизация только по https.
И никак нельзя пострипать? Неужели vk нельзя заМИТМить?
бамп двощ, я уже знаю что access_token постоянный, осталось каким-то волшебством достать secret на основе которого генерится и дело в шляпе. Призываю митм-экспертов в этот тред
>осталось каким-то волшебством достать secret
Удачи. Митм-эксперт уже ответил: для широких масс это недоступно.
Это же нихуя не митм, ева - просто пассивная прослушка.
Если ева для элис представится бобом, а для боба - элис, то атака будет удачной. удачной потому что элис и боб никак не могут проверить подлинность собеседника, так как никогда не встречались.
Спасибо за ответ, как я понимаю на этой апке происходит oauth авторизация и хрен ее перехватишь. Выходит использование апликух народом это на порядок секьюрнее и надежнее для них же, потому что не поддается взлому? И еще вопрос - если человек запрашивает https://vk.com его невозможно редиректнуть на http://vk.com? Получается это та же защита как и в случае с oauth авторизацией?
>не поддается взлому
Почему же не поддаётся? Ты вон запрос перехватил и получил его содержимое — ещё как поддаётся. Но ничего сверх этого у тебя наверняка не получится.
>если человек запрашивает https://vk.com его невозможно редиректнуть на http://vk.com
>это та же защита как и в случае с oauth авторизацией
Не знаю, что там за oauth-авторизация, но знаю, что авторизация в современных клиентах происходит по https. И да, редиректнуть с https на http в общем случае нельзя.
В конкретных случаях есть атаки, позволяющие вмешаться в SSL, нужно тестировать конкретный клиент — проверяет ли он валидность сертификата, не позволяет ли он сделать downgrade на слабый метод шифрования.
Если есть серьёзное желание, посмотри в сторону недавних уязвимостей POODLE/FREAK/чё-там-ещё. Вроде бы, в Intercepter-NG есть какие-то реализации.
>Если есть серьёзное желание, посмотри в сторону недавних уязвимостей POODLE/FREAK/чё-там-ещё.
Во всех бразуерах эти уязвимости закрыли через пару часов после релиза, выпилом экспортных шифров и SSLv2.
У его самки же андроид вместо операционки, там порой после выхода вообще ничего не обновляют.
Почему на этой доске так часто всплывают школьники с сосущими Ерохину Еотовыми?
secret чего? какое приложение у нее было на телефоне? сикреты айфон и виндовс фонов например в открытом доступе лежат, я их юзаю постоянно для прямой авторизации, чтобы с ouath не ебаться
>в открытом доступе лежат
Прям на экране показывает? Думаю, если бы у опа был доступ к телефону, он бы не задавал таких вопросов.
каком экране? ты знаешь как работает авторизация через апи вк? если ты используешь обычный ouath, то нужен только app id, а потом логин и пароль, и жертва в окошке жмякает кнопочки и ты на выходе получаешь токен
либо же прямая авторизация - при прямой авторизации ты сразу же получаешь токен, вот как раз таки для нее нужно предоставлять помимо app id еще и app secret (которые можно спиздить в инете) - в итоге один гет запрос и у тебя токен
поэтому зачем ОП упомянул сикрет я хуй знает
Экране телефона. Тред вообще читал?
Я петух? Он сказал, что у него есть токен и сиг. Нахуй ему еще что-то нужно? Пусть читает ту ссылку, которую ты дал. Токен и сиг - путь к успеху, ничего больше уже не нужно
Если бы ты говорил не с дивана, а имел чуток практики, то знал бы, что этот access_token работает только для http, а для http нужно знать её и secret, который упомянут по ссылке выше.
>знать ещё и secret
fix
sig вычисляется как:
md5('Строка_запроса' + secret)
пример url запроса:
http://api.vk.com/method/users.get?user_ids=66748&access_token=895bd27c895ad6c089cfa8d3378947e1899895d8958693ffe76cd8991274d19&sig=6cabf939643c04c977737aab4ef159b8]
сиг у него уже есть
Какой же ты тугодоходящий. Посмотри внимательно на то, что ты сам процитировал:
>sig вычисляется как:
>md5('Строка_запроса' + secret)
Слова «Строка запроса» видишь? Они недвусмысленно намекают на то, что sig для каждого запроса будет разным.
У него есть sig одного-единственного запроса. Он может повторить его и получить ответ на этот единственный запрос, не более (да и то, есть access_token не истёк).
Ну сори тогда, обосрался. У меня опыт с вк апи только со standalone приложениями, с такой штукой не сталкивался
ssl strip это не отменяет
ОП на связи, нихуя не получается, как на сайтиках форумах посмотришь так у всех акаунты угнали, как самому понадобилось переписку получить так хуй там. Разве что дибилушкам ссылки суют на форму авторизации самодельную, но у меня такой номер не прокатит. Горит пиздец
Прозреваю, что аппа vk не даст петушкам возможности нажать «Мне срать на недоверенный сертификат, пустите!».
Она скачет на хуе Ерохи, можешь ничего не делать.
да скачет и скачет, от меня все равно нихуя не получит, у меня немного другой интерес. Апка наверняка пошлет нахуй при попытке подсунуть самозванный серт, и просто ничего не грузанет. Где же вы, кулхацкеры, которые умеют применять ддос-атаку?
Что тебе ещё надо? Я уже сказал, в какую сторону гуглить.
>Прозреваю, что аппа vk не даст петушкам возможности нажать «Мне срать на недоверенный сертификат, пустите!».
А вот хуй его знает. Но собственно речь шла не об этом. Для чего рассматривать только один вектор атаки?
мне нужно достать доступ к переписке одной пизды, которая не хочет признаваться в одном неприятном деянии. Удалось получить access_token и sig (ее акаунта?) из официальной VK апки для андроида на ее ебучем телефоне. Можно ли с ними получить доступ к сообщениям? Дополнительно знаю id в VK и номер телефона (потенциальный логин). Если нельзя, можешь подсказать как инициировать повторный логин на VK апке человеком посредине? За годные советы которые приведут меня к сообщениям я готов скинуть немного деревянных на ЯД