Русские девушки всегда славились своей красотой.
Давайте посмотрим на красивых русских девушек,
которые выкладывают фотографии в свои профили.
Также смотрим:
Русские девушки из социальных сетей (49 фото)

Так вышло, что мне стало интересно узнать, насколько безопасно публиковать приватное видео на вконтакте.ру Оказалось, что сейчас уровень защиты слабый.

Немного копнуть

Перед тем как исследовать чужие файлы, стоит изучить систему поближе, поэтому я закачал видеоролик на вконтакте, сделал его публичным, а урл на видео скормил сервису videosaver.ru. Сервис хороший, потому как любезно предоставил мне прямую ссылку на мой файл.

Далее, свое публичное видео я сделал крайне приватным (только для себя), и попробовал снова скачать файл напрямую с завершенной сессией. Ага, качается. Это значит, что сервера на раздаче видео не производят проверки на приватность (и правильно делают, потому как это надо делать в другом месте).

Thumbnail это все

Ссылка на мой публичный, а ныне приватный ролик выглядит как:

в которой самая интересная часть — 08e8e26a100647241. Это явно хеш и вычислить его врядли получится, а значит необходимо найти этот хеш на сайте — в исходниках, в коментах, где угодно. Просмотр исходных кодов страниц со списком моего видео и при просмотре видео ничего не дало, но при этом видно, что thumbnail видеоролика генерируется скриптом:

и да, вот он наш хеш (08e8e26a100647241), который мы наблюдали в ссылке на видео. Понятное дело, теперь можно связать любой thumbnail с частью полного пути к flv файлу.

Путь к файлу

Если название файла можно получить из названия картинки можно, то теперь необходимо достроить остальной путь — название сервера и субдиректории. Субдиректории все одинаковые и отличия в ссылках только в хостах. Вцелом, все ссылки на видео можно описать как

Нас интересует часть до vkadre.ru, потому как с хешем все ясно. Предположив, что на выдаче видео 2000 серверов (с крутым запасом) сканируем все хосты xxx.gt2.vkadre.ru и xxx.gt3.vkadre.ru на предмет ip адреса, где xxx от 1 до 1000.

Оказалось, что у вконтакте около 250 серверов (уникальных ip) на выдачу видео (возможно также они хостят и аудио, не проверял). Имея эти 250 серверов делаем простой перебор на скачивания файла:

http://[айпиадрес из пула]/assets/videos/[хеш из картинки].vk.flv

Если файл физически не найден, сервер выдаст дефолтный flv ролик на 300 килобайт с какой-то стремной музыкой. То есть, любой файл отличный по размеру от дефолтного и есть искомый ролик, а файл находится не больше чем через

Как это исправить

сделать проверку на доступ в скрипте /get_thumbnail.php и если прав нет, то показывать дефолтную картинку, мол тут дела личные и нечего смотреть превью. В дополнение к этому не стоит вообще показывать видео в списках, если его невозможно посмотреть.

update
Спасибо kabachok
более простой способ получения хеша
/get_thumbnail?vk > это значит, что хеш впринципе публиковать нельзя.

—Рубрики

• Я в контакте (девушки) (1)
• Вспомогательные ресурсы (0)
• Флейм (0)
• Фотографии в контакте (+18 девушки) (0)
• Фотографии в контакте (+18 парни) (0)
• Видео в контакте (+18) (0)
• Другое (0)
• FAQ (0)
• Софт (0)
• Музыка в контакте (0)
• Видео в контакте (0)
• Группы в контакте (0)
• Левые анкеты знаменитостей (0)
• Знаменитости в контакте (0)
• Я в контакте (анонимно) (0)
• Я в контакте (парни) (0)

—Цитатник

Мир воров — ИГРА С ВЫВОДОМ ДЕНЕГ Взял на мониторинг новую браузерную игру — Мир воров. Если .

Качество женщины магия пена губки Hairdisk волосы устройство пончик быстрый грязные булочка прически.

Не рановато? Не рановато? Я прям слышу возглас hohoho http://witch-you.ru/post402077103/

Топ товаров за март 2016 | Автомобили и мотоциклы Подготовила специально для вас список топ товар.

Картинка Gunswords: Tin Soldiers. Об игре | Играть