Сессия авторизации vk

Discussion in 'Социальные сети' started by dan13, 28 Jun 2012.

  1. dan13

    dan13 New Member

    Joined:
    27 Jun 2012
    Messages:
    0
    Likes Received:
    0
    Reputations:
    0
    Доброе время суток,
    Может кто подсказать - все таки если перехватить сессию авторизации вконтакт, то ничего стоящего все равно не получится ? Почитал по этой теме: получается что где-то до 2010 e-mail ипароль передавались в открытую, а теперь "хитрым" способом, который еще не рассшифровали (не https). И при этом, если взять и перенести cookie с другого компа на свой, то все равно ничего не получится ? (помнится это разбиралось на форуме, но тоже давно) Заранее благодарю за информацию.
     
  2. M_script

    M_script Members of Antichat

    Joined:
    4 Nov 2004
    Messages:
    2,581
    Likes Received:
    1,308
    Reputations:
    1,557
    Сессия (куки vk.com) привязана к IP-адресу.
    Куки login.vk.com ни к чему не привязаны.

    Встречный вопрос:
    Как ты собираешься перехватывать сессию?
     
  3. besfamilnyi

    besfamilnyi Member

    Joined:
    5 Jun 2012
    Messages:
    42
    Likes Received:
    8
    Reputations:
    0
    <start_offtop>
    ну перехватить то можно, если пораскинуть мозгами
     
    #3 besfamilnyi, 29 Jun 2012
    Last edited: 3 Mar 2017
  4. M_script

    M_script Members of Antichat

    Joined:
    4 Nov 2004
    Messages:
    2,581
    Likes Received:
    1,308
    Reputations:
    1,557
    besfamilnyi, вопрос не в том, можно или нельзя это сделать. Способов существует много. Вопрос в том, каким именно способом это собрался делать ТС. В зависимости от способа, могут быть более эффективные методы использования этого способа, чем кража сессии.
     
  5. besfamilnyi

    besfamilnyi Member

    Joined:
    5 Jun 2012
    Messages:
    42
    Likes Received:
    8
    Reputations:
    0
    M_script, ну ТС'у однозначно нужен способ кражи куки с последующими успешными манипуляциями. :D
    P.S.: ТС не рассчитывай на нормальный ответ, его бы дали сразу если бы инфа была "ничего не стоящей". Просто забей или ищи сам способы.
     
  6. M_script

    M_script Members of Antichat

    Joined:
    4 Nov 2004
    Messages:
    2,581
    Likes Received:
    1,308
    Reputations:
    1,557
    Он спросил
    Значит способ уже есть. А если способа у него нет, можно удалить тему.
     
  7. CyberStorm

    CyberStorm Member

    Joined:
    25 Feb 2006
    Messages:
    4
    Likes Received:
    11
    Reputations:
    -4
    если ты не собрался сутками зависать в макдаках, шоколодницах, и подобных заведениях, с открытым вайфаем -- можешь забыть о перехвате :)
    к тому же, не стоит забывать что login.vk.com работает через https, т.е. стырить куки с него не получится ни при каком раскладе (ну, если только не ставить снифер на стороне жертвы :D ), в лучшем случае, что можно получить -- remixsid, который будет работать только в кафешке, тк он вяжется по айпи, и то, если память мне не изменяет -- там есть время жизни сессии (вконтакт сам убивает сессию и начинает новую, используя куки с login.vk.com, и всё это происходит незаметно для пользователя), да и к тому же, пользователь может тыкнуть "закрыть все сесси" (или как оно там называется) в настройках своего профиля.

    так что, если коротко -- вы опоздали со своим перехватом на 2-3 года.. :D
     
  8. Юго

    Юго Elder - Старейшина

    Joined:
    2 Feb 2011
    Messages:
    63
    Likes Received:
    77
    Reputations:
    17
    аж блеа за дущу цепляет

    опоздали на 2-3 года...

    блеаа.....
     
  9. trolex

    trolex Well-Known Member

    Joined:
    6 Dec 2009
    Messages:
    595
    Likes Received:
    1,391
    Reputations:
    6
    http://habrahabr.ru/post/128833/
    как понял если есть доступ к каналу и возможность подменять запросы, то https можно взломать
     
  10. trolex

    trolex Well-Known Member

    Joined:
    6 Dec 2009
    Messages:
    595
    Likes Received:
    1,391
    Reputations:
    6
    нету не какой схемы, а это сообщение ты написал для того чтобы повысить свою самооценку
    7 смайлов в сообщении свидетельствуют о хорошем настроении, вот я какой умный знаю что знают избранные, а обычные пользователи даже не догадываются, а на самом деле не какой темы то и нет
     
  11. CyberStorm

    CyberStorm Member

    Joined:
    25 Feb 2006
    Messages:
    4
    Likes Received:
    11
    Reputations:
    -4
    отлично, начинай с завтрашнего дня! :)
    а пока ты будешь готовиться -- прочитай побольше материалов про beast, что для её использования нужно, какие условия должны выполняться.
    потом придумай альтернативный способ надругательства над пакетами (java ж выбыла, после выпущенного патча oracle), заодно придумай как ты будешь внедрять своего агента, и обдумай огромное количество других мелочей (мне просто лень перечислять их :) )

    p.s.
    если ты можешь подменять запросы (тобишь стать шлюзом) -- нафига тебе заморачиваться с beast'ом? :)

    или представляю себе картинку "эй вы! да, вы, мужчина за третьим столиком, с гамбургером и колой в руках, я к вам обращаюсь! перейдите по этой ссылке *****.com! в ней нет ничего вредоносного, я вас уверяю"
    (это если ты всё-таки найдёшь замену java, и будешь распространять своего агента через сторонний сайт, но в таком случае возникает вопрос -- не проще ли подсадить на связку эксплоитов, и потом делать с компом жертвы всё, что придёт в голову?)


    к чему это сообщение? :)
    не знаю, что сказать по теме, но поделюсь своими эмоциями, или потроллю? :)
     
    #11 CyberStorm, 29 Jun 2012
    Last edited: 29 Jun 2012
  12. dan13

    dan13 New Member

    Joined:
    27 Jun 2012
    Messages:
    0
    Likes Received:
    0
    Reputations:
    0
    Тоесть можно, заполучив cookie другого человека, зайти под ним, так ?
     
  13. M_script

    M_script Members of Antichat

    Joined:
    4 Nov 2004
    Messages:
    2,581
    Likes Received:
    1,308
    Reputations:
    1,557
    Можно, если это куки домена login.vk.com
     
  14. dan13

    dan13 New Member

    Joined:
    27 Jun 2012
    Messages:
    0
    Likes Received:
    0
    Reputations:
    0
    Но разве контакт еще что-то передает через login.vk.com ? Когда я просматривал свой трафик все передавалось на vk.com в том числе и remixsid.
     
  15. M_script

    M_script Members of Antichat

    Joined:
    4 Nov 2004
    Messages:
    2,581
    Likes Received:
    1,308
    Reputations:
    1,557
    При авторизации запрос идет на login.vk.com, устанавливаются куки s, l, p, h. После этого 302 редирект на vk.com с параметром hash, устанавливается remixsid. Если удалить remixsid или изменить IP и зайти на страницу ВК, произойдет редирект на login.vk.com. Если на login.vk.com установлены авторизационные куки, опять редирект на vk.com и установка нового remixsid.
     
  16. dan13

    dan13 New Member

    Joined:
    27 Jun 2012
    Messages:
    0
    Likes Received:
    0
    Reputations:
    0
    Тогда получается, что проблематично узнать куки именно для login.vk.com, так как человек при заходе вконтакт где-нибудь в новом месте просто меняет remixsid, который даже непонятно как создается (из тем на форуме) ?
     
  17. M_script

    M_script Members of Antichat

    Joined:
    4 Nov 2004
    Messages:
    2,581
    Likes Received:
    1,308
    Reputations:
    1,557
    Не просто меняет remixsid, а делает запрос на login.vk.com с куками, которые к IP не привязываются.
    Перехват трафа усложняет https, а найти XSS на login.vk.com маловероятно, потому что на этом домене нет вывода html-кода.
    Но можно подменить DNS-запросы и поймать куки на фейковом login.vk.com.
     
  18. dan13

    dan13 New Member

    Joined:
    27 Jun 2012
    Messages:
    0
    Likes Received:
    0
    Reputations:
    0
    Тогда получается, что сами куки для login.vk.com не хранятся у пользователя ?
     
  19. M_script

    M_script Members of Antichat

    Joined:
    4 Nov 2004
    Messages:
    2,581
    Likes Received:
    1,308
    Reputations:
    1,557
    Конечно хранятся. Куки для того и нужны, чтобы храниться у пользователя =)
     
  20. trolex

    trolex Well-Known Member

    Joined:
    6 Dec 2009
    Messages:
    595
    Likes Received:
    1,391
    Reputations:
    6
    это можно сделать без загрузки трояна?
    если есть доступ в виде загруженного трояна, то понятно что можно поменять адрес днс сервера, но тогда проще сразу хостс подменить или уже готовые куки из браузера вытащить
     
Loading...