После логаута пользователя VK можно получить управление его страницей / Habr
Решил попробовать себя в работе с API Вконтакте и наткнулся на интересную особенность.Один из способов авторизации в API — это OAuth. Вкратце всё происходит так: создаёте приложение ВК, получаете его ID, а затем отправляете браузер пользователя на адрес:
https://oauth.vk.com/authorize"
+ "?client_id=123" // ID вашего приложения
+ "&display=page"
+ "&redirect_uri=https://oauth.vk.com/blank.html" // URL, на который попадёт пользователь после успешной авторизации. ВК требует указания этого сайта в настройках приложения и только для приложения типа Сайт. Для остальных работает только указанный УРЛ, в целях безопасности
+ "&scope= права доступа"
+ "&response_type=token"
+ "&v=5.52"
+ "&state=123456"
Это авторизация методом Implicit flow.
Если пользователь залогинен, ему будет сразу предложено установить приложение, если нет — вначале залогиниться, а уже потом устанавливать. Если приложение уже установлено, то идёт сразу переход на страницу, в хэше которой будет токен. Дальше идёт работа с API.
Самое интересное начинается после выхода из ВК. Ваше приложение может иметь ссылку на выход вида vk.com/login.php?op=logout. Это стандартная ссылка на выход из VK. Но после выхода пользователя из VK куки остаются рабочими.
Таким образом, если опять показать страницу авторизации, ввести совершенно другой логин и пароль — вы всё равно сможете пользоваться страницей первого пользователя.
Т.е. работа ведётся следующим образом — пользователь П1 авторизуется ВКонтакте через приложение. В приведённом примере я использую standalone-приложение, но, возможно, получится и с другими видами приложений. Дальше пользователь П1 нажимает на ссылку выхода из ВК, приведённую выше. После этого ни через браузер, ни через приложение зайти в ВК без авторизации не получится. Дальше пользователь П2 авторизуется через приложение. Затем, уже через браузер пользователь попадает на страницу пользователя П1, вместо своей страницы П2. И может делать с этой страницей абсолютно всё, что угодно, приложение на данном этапе уже не нужно и не играет никакой роли.
Самое смешное то, что вы можете использовать в вашем приложении самые безобидные права. То есть не нужно пугать пользователя тем, что вы просите доступ к фоткам, аудио, видео, сообщениям и всему остальному. Можно оставить только базовые — и всё. Куки при этом всё равно будет полностью рабочими, используя их вы попадёте прямиком на страницу пользователя.
Можно ли считать данную особенность уязвимостью — думайте сами. По-моему, это как минимум не то, чего ожидает пользователь, нажимая на кнопку «Выход» и надеясь на то, что теперь уж его страница в безопасности.
При написании данной заметки ни один пользователь ВК не пострадал.
UPD. При авторизации использовался браузер IE7.
В поддержку я писал задолго до того, как опубликовал статью на здесь. Собственно, публикация статьи здесь и произошла в результате того, что поддержка данный сигнал проигнорировала в духе «это не баг, а фича, но, возможно, что-то изменится в будущем».
habr.com
Программист рассказал о способе получить доступ к странице пользователя «ВКонтакте» после разлогина
Пользователь «Хабрахабра» под ником prohodil_mimo рассказал об обнаруженной им уязвимости во «ВКонтакте», которая позволяет злоумышленнику зайти на страницу пользователя после того, как тот вышел со своей страницы.
Уязвимость была обнаружена в API, предназначенном для работы с мобильными приложениями, а конкретно — в способе авторизации OAuth. По словам программиста, злоумышленники могут беспрепятственно воспользоваться «куками» пользователя после того, как он вышел со своей страницы. Для доступа к профилю даже не понадобится вводить верный логин или пароль.
Если пользователь залогинен, ему будет сразу предложено установить приложение, если нет — вначале залогиниться, а уже потом устанавливать. Если приложение уже установлено, то идёт сразу переход на страницу, в хэше которой будет токен. Дальше идёт работа с API.
Самое интересное начинается после выхода из «ВКонтакте». Ваше приложение может иметь ссылку на выход вида vk.com/login.php?op=logout. Это стандартная ссылка на выход из VK. Но после выхода пользователя из VK куки остаются рабочими.
Таким образом, если опять показать страницу авторизации, ввести совершенно другой логин и пароль — вы всё равно сможете пользоваться страницей первого пользователя.
По словам программиста, в поддержке во «ВКонтакте» ему ответили, что «это не баг, а фича, но, возможно, что-то изменится в будущем».
В разговоре с TJ пресс-служба «ВКонтакте» заявила о том, что разработчик допустил ошибку, а уязвимости на самом деле нет.
В публикации на «Хабрахабре» допущена ошибка: vk.com/login.php?op=logout — это не ссылка для выхода из «ВКонтакте». Ссылка логаута для каждого пользователя индивидуальная, это можно проверить, наведя курсором на кнопку «Выход» или скопировав ссылку правой кнопкой мыши на сайте.
Автор публикации действительно мог столкнуться с тем, что ему показывалась форма авторизации при переходе по указанной ссылке — этот баг мы в скором времени закроем. Однако к выходу со страницы это не имеет никакого отношения, и о какой-либо уязвимости здесь речи не идет.
пресс-служба «ВКонтакте»
tjournal.ru
как сделать чтобы когда выходишь из вконтакте сразу писало ,что я не онлаин?
никак.)) ) это ;t контакт. Павел Дуров не даст так просто выйти!!!!
никак. он сам так будет писать, а лучше и не выходи, не надо париться и заходить потом обратно))ну понимаешь… контакт немного тормозит) ) вообщем чтобы данные обновились — те кто видели тебя в онлайне должны обновит страницу браузера) ) даже когда нет уведомлений о полученных сообщениях, и тебе отправили, ты обновляешь страничку и видишь, что есть сообщение ) так же и с выходои из контакта)
touch.otvet.mail.ru
Как войти в Вконтакт без пароля — Новые технологии
-
Метки
Вконтакте, Пароль -
Рейтинг
( 1 Рейтинг ) -
Рубрика
Лайфхак
Что делать, если забыли пароль к «ВКонтакте»? Автоматическое сохранение паролей в браузере может стать недоброй шуткой – вы можете забыть пароль к своей странице в соцсети «ВКонтакте». В таком случае придется использовать вход без ввода пароля.
Самым простым вариантом войти в свой профиль «ВКонтакте» является использование мобильного устройства с установленным мобильным клиентом. Но для этого необходимо заранее получить ссылку для быстрого входа на свой телефонный номер. Для этого выйдите из своего профиля и на странице выхода найдите опцию «Получить ссылку для быстрого доступа».
Если вы не настроили доступ с мобильного, тогда вам остается только изменить забытый пароль на новый. Это можно сделать через специальную форму, доступ к которой можно получить на главной странице «ВКонтакте». Выберите опцию «Забыли пароль» и введите адрес своего профиля. Система отправит на прикрепленный к странице номер телефона код – введите его для смены пароля. После этого придумайте новый пароль и введите его в соответствующем поле.
Войти в профиль без мобильного телефона также возможно, но придется фотографировать свой паспорт, чтобы доказать владельца страницы. Для этого на главной странице «ВКонтакте» нажмите «Забыли пароль» и потом – «Нажмите сюда». Введите адрес своего профиля, после чего откроется новое окно. В нем укажите как можно больше информации о своем аккаунте в соцсети. Также необходимо будет отправить администрации соцсети фото своего паспорта на фоне открытой заявки на восстановление.
innotechnews.com
