наверняка именно 4ере3 куки. Влом проверять, но на 99 % в этом уверен. В куках записан ID, email, md5 hash пароля. пхп-скрипт проверяет id, если в друзьях, то разрешает просмотр. Если просто подменить id в куках на id друга жертвы, то все равно не посмотрите картинки, сверяется еще и хеш пароля... короче вас кинет на индексовую страницу после такого фокуса...

Все это делает пхп-скрипт на стороне сервера и следовательно редактирование в опере страницы у себя, локально, делу не поможет ))) так что не тратьте время впустую, а ищите скульинъекции х) гы, ночью удалили один из моих акков, он был в столбик... Пара3иты! Но если не светиться, т0 прожить можно довольно долго )))

когда была шумиха с тем что народ удаляют мне подвесили сообщение что анкета содержит неверную инфу и когда её я исправлю нужно отправить сообщение админам
вот сцилка http://vkontakte.ru/admin.php?act=fixed&wid= незнаю может кому поможет попасть в админку а это было бы уже интерестно !

я вот что думаю .... админы же на сайте тоже пользователи ..значи у их анкет есть какоето разрешение к админской страничке ....если узнать то можно попробовать выбить права админа !