HOME    FORUMS    MEMBERS    RECENT POSTS    LOG IN  
Баннер 1   Баннер 2

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
Вернуться   Форум АНТИЧАТ > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Уязвимости
Перезагрузить страницу app vk или особенности oauth 2.0
   
 
 
Опции темы Поиск в этой теме Опции просмотра
Предыдущая Предыдущее сообщение   Следующее сообщение Следующая

  #1  
Старый 08.03.2014, 23:21
Unknown
Guest
Сообщений: n/a
Провел на форуме:
8705

Репутация: 81
По умолчанию
Как мы все знаем, vk активно продвигает свое мобильное приложение, ни для кого ни секрет что авторизация происходит не при помощи сохранения login : pass, а при помощи oauth 2.0 токена, на сайте разработчиков технологии есть правило:

При генирации подобного токена, ему должен присваиватся срок жизни, но в vk app токен жив покуда не нажата кнопка выйти из приложения.

url:https://api.vk.com/method/

script:getProfiles.xml

Код:
Code:
?uid=1 - не имеет значения, можем ставить любой.
&v=5.0 - версия app, в принципе тоже не имеет значения для нас.
&access_token=5a554ed55925b7b396fcf626f22d6f5f096a5fa0e740e4c41478a9fadd1791d9d99c8901d418593c43da3 - определяется как токен 85 символов;.
_ttps://api.vk.com/method/getProfiles.xml?uid=1&v=5.0&access_token=f5a554ed5 5925b7b396fcf626f22d6f5f096a5fa0e740e4c41478a9fadd 1791d9d99c8901d418593c43da3

возвращает:

Код:
Code:

5
User authorization failed: invalid access_token.
Если переменная не токен код 10:

Код:
Code:
10
Internal server error: could not get application
Если автаризация прошла успешно возвращает Имя:Фамилия:ид или ссылку на ввод номера, по коду страны можно сделать сменный SOCS.

Я собственно столкнулся с этим мучая бэкап своего телефона, хотел зайти без ввода забытого пароля, после чего нашел много таких токенов внутри других апп, которые вернули результат авторизации в чужие страниц от вк.

Думаю чем-то подобным страдают и другие приложения, тк для генирации нового токена недостаточно знать старый, нужно вводить логин : пасс поновой.

Накидал токен_ген. Win 7.

http://www.sendspace.com/file/t6hyqq

пшп код чека генерированных токенов:

PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]

[/COLOR][/COLOR
Все это наводит на мысль что в подобных токенах есть закономерность, пост с надеждой что тема получит логическое продолжение.

http://oauth.net/2/

http://vk.com/dev/
 
Ответить с цитированием
 



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ