ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.

20.12.2009, 01:48
|
|
Познающий
Регистрация: 12.09.2009
Сообщений: 61
Провел на форуме: 818777
Репутация:
19
|
|
ErrorNeo, HTTP Analyzer V2, ещё может быть автор флеш решил спрятать secret прямо в нём, что крайне не рекомендуется ,есле так и не увидишь попробуй де компилировать. зы. пока такие не встречал.
|
|
|

20.12.2009, 02:24
|
|
Moderator - Level 7
Регистрация: 02.05.2009
Сообщений: 894
Провел на форуме: 4297091
Репутация:
2261
|
|
попробовал снифить HTTP Analyzer V3 ...
да, уловил на 1 запрос больше:
GET /js/lang0_0-1000.js?752 HTTP/1.1
Accept: */*
Referer: http://vkontakte.ru/app685176_9239448
Accept-Language: ru
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 ()
Host: vkontakte.ru
Connection: Keep-Alive
Cookie: remixchk=5; remixsid=c5ed98193ed93ed93ed234a93ed2b6047dc9bf10f 5325ff03f2d7307
т.е. первым идет запрос в странице приложения, затем этот запрос, запросы
www.tns-counter.ru и counter.yadro.ru, и затем начинаются запросы с sig'ами.
Да, HTTP Analyzer их показывает. Как и smartsniff. Только вот он показывает их {sig'и} как часть отправляемых POST-данных.
И по-прежнему ни малейшего намека на то, откуда они взялись.
вот так всегда. прям как в анекдоте про то, что для того, чтобы просто вкрутить лампочку нужно как минимум 8 программистов.

Последний раз редактировалось ErrorNeo; 20.12.2009 в 02:29..
|
|
|

20.12.2009, 11:56
|
|
Moderator - Level 7
Регистрация: 02.05.2009
Сообщений: 894
Провел на форуме: 4297091
Репутация:
2261
|
|
up
|
|
|

20.12.2009, 12:37
|
|
Новичок
Регистрация: 06.10.2008
Сообщений: 3
Провел на форуме: 122701
Репутация:
5
|
|
ну раз ты не видишь что он добывается каким-то запросом, тогда скорее всего он генерируется флешкой
|
|
|

20.12.2009, 12:48
|
|
Moderator - Level 7
Регистрация: 02.05.2009
Сообщений: 894
Провел на форуме: 4297091
Репутация:
2261
|
|
допускаю, что этот sig как-то чем-то генерируется)
однако вопрос по его генерации вне браузера остается открытым.(
|
|
|

20.12.2009, 12:49
|
|
Новичок
Регистрация: 06.10.2008
Сообщений: 3
Провел на форуме: 122701
Репутация:
5
|
|
PHP код:
function generate_signature($viewer_id,$request_params,$api_secret)
{
sort($request_params);
foreach($request_params as $tempelem)
$signature .= $tempelem;
$signature = $viewer_id.$signature.$api_secret;
return md5($signature);
}
переписать на дельфи думаю не будит сложно
|
|
|

20.12.2009, 13:00
|
|
Moderator - Level 7
Регистрация: 02.05.2009
Сообщений: 894
Провел на форуме: 4297091
Репутация:
2261
|
|
[XAOC] - это уже обсуждалось в этой теме.
Невозможно получить $viewer_id,$request_params,$api _secret , не являясь разработчиком приложения.
Точнее - невозможно получить как минимум $api _secret
Браузер получает sig как-то иначе. Допускаю, что он получает его из Флэш. Вопрос опять таки в том, как это эмулировать вне браузера
Последний раз редактировалось ErrorNeo; 20.12.2009 в 13:02..
|
|
|

20.12.2009, 13:06
|
|
Новичок
Регистрация: 06.10.2008
Сообщений: 3
Провел на форуме: 122701
Репутация:
5
|
|
ну вообще-то
$viewer_id - это ид того человека от кого открыта страница с приложением
$request_params - массив из списка параметров пост-запроса
не вижу тут ничего не возможного это получить
|
|
|

20.12.2009, 13:29
|
|
Moderator - Level 7
Регистрация: 02.05.2009
Сообщений: 894
Провел на форуме: 4297091
Репутация:
2261
|
|
Сообщение от [XAOC]
ну вообще-то
$viewer_id - это ид того человека от кого открыта страница с приложением
$request_params - массив из списка параметров пост-запроса
не вижу тут ничего не возможного это получить
читаешь между строк? прежде чем отвечать на сообщение, прочти его полностью.
то, что ты написал не соответствует тому, что приведено в примере работы с АПИ(см второй пост), но даже если это было бы и так, то
все равно
невозможно получить $api _secret, не являясь разработчиком\владельцем приложения.
а без него вся процедура
generate_signature($viewer_id,$request_params,$api _secret)
не имеет смысла.
Последний раз редактировалось ErrorNeo; 20.12.2009 в 13:35..
|
|
|

20.12.2009, 13:45
|
|
Новичок
Регистрация: 06.10.2008
Сообщений: 3
Провел на форуме: 122701
Репутация:
5
|
|
то, что ты написал не соответствует тому, что приведено в примере работы с АПИ(см второй пост), но даже если это было бы и так, то
интересно что-же не соответствует в моей функции если она работает на отлично ?
невозможно получить $api _secret, не являясь разработчиком\владельцем приложения.
декомпилятор в руки и вперед
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|