.acme,я не понял твоего высказывания ко мне. Мне пофиг что никто делиться не хочет,я ни у кого не прошу и мне не надо это, я просто выложил что знаю и все =)
NFM, .acme хотел, скорее всего, мне ответить на предыдущий пост, да ошибся одресатом малость)) А теперь моя мысля... Если я хочу просмотреть фотку, а ее могут просматривать только друзья пользователя, то можно ли каким-нибудь способом зашифроваться под друга? В зависимости от того, где проверяется моя личность перед принятием решении о доступе к фотке я думаю возможны 2 варианта: 1) если проверка через исходный код, то сохранить у себя на компе, подредактировать ид со своего на чужой(друга жертвы) или что-то похожее 2) если проверка через кукисы - подредактировать кукисы(может это для кого-то звучит тупо, но как там идет проверка я и не догадываюсь) ЗЫ: если я написал бред, то не судите строго, так как все-равно лучше хоть какие-то идеи выдвигать, чем просто языком без толку ляпать, как тут многие делают!!((
t3rmit, Скорее всего проверка идёт через код, возможен обман через оперу, вот думаю сейчас проверить, если смогу, то отпишусь Через куки просто не может быть))
наверняка именно 4ере3 куки. Влом проверять, но на 99 % в этом уверен. В куках записан ID, email, md5 hash пароля. пхп-скрипт проверяет id, если в друзьях, то разрешает просмотр. Если просто подменить id в куках на id друга жертвы, то все равно не посмотрите картинки, сверяется еще и хеш пароля... короче вас кинет на индексовую страницу после такого фокуса...
По поводу мелких багов контакта: можно менять года (рождения, учебы в универе/школе и т. д.). Делается таким же способом, как и женитьба на самом себе: редактируете в опере страничку... У меня стоит 777 августа 1 года ))) если поставить какой-нить 11112008 год рождения, то ваш возраст будет минус 1111000...
При регистрации можно сделать себе имя в столбик или вобще его убрать. Для этого инпуты с именем и фамилией меняем на текстариа (в той же опере), вписываем туда 4то необходимо, далее javascript: this.disabled=true; document.regMe.submit();
Ну, и еще по-мелочи: статус можно сделать в столбик... тоже имут на текстариа меняем... Можно еще комментировать заметки у не друзей, даже если эти заметки закрыты. Но для этого нужно знать id заметки, а узнать его может друг ))) ну или если ссылка на данную заметку где-нить валяется....
Все это делает пхп-скрипт на стороне сервера и следовательно редактирование в опере страницы у себя, локально, делу не поможет ))) так что не тратьте время впустую, а ищите скульинъекции х) гы, ночью удалили один из моих акков, он был в столбик... Пара3иты! Но если не светиться, т0 прожить можно довольно долго )))
когда была шумиха с тем что народ удаляют мне подвесили сообщение что анкета содержит неверную инфу и когда её я исправлю нужно отправить сообщение админам вот сцилка http://vkontakte.ru/admin.php?act=fixed&wid= незнаю может кому поможет попасть в админку а это было бы уже интерестно !
я вот что думаю .... админы же на сайте тоже пользователи ..значи у их анкет есть какоето разрешение к админской страничке ....если узнать то можно попробовать выбить права админа !
Я думаю, что структура следующая: скрипт проверяет, помечен ли в БД твой ид как админский. Если да, то тебе разрешается доступ в админку, скорее всего и ссылка в админку прям на странице появляется... Но в этой админке наверняка доступ открыть к крайне ограниченному набору ф-ий...
