Двухфакторная авторизация Вконтакте и Одноклассников

Discussion in 'Социальные сети' started by CallMe666, 19 May 2015.

  1. CallMe666

    CallMe666 New Member

    Joined:
    19 May 2015
    Messages:
    8
    Likes Received:
    0
    Reputations:
    0
    Собственно сабж. Имеется ввиду дополнительный этап авторизации с применением кода из СМС, которое приходит на номер телефона, закреплённый за учётной записью. Обстоятельства таковы:
    1) Есть компьютер, где все этапы авторизации пройдены, бразуер запомнен как авторизованный, т.е. коды из смс уже не требуются.
    2) Есть второй компьютер, где логина в данную учётку ещё не производилось.
    Вопрос такой: по каким критериям контач и ок отличают авторизованный браузер от неавторизованного? И возможно ли подменить данные неавторизованного бразуера данными авторизованного, чтобы зайти в учётку без применения кода из СМС на совершенно другом компьютере?
    Дело только в куках или есть ещё нюансы?
     
    #1 CallMe666, 19 May 2015
    Last edited: 19 May 2015
  2. makag

    makag Staatsanwalt

    Joined:
    27 Sep 2009
    Messages:
    478
    Likes Received:
    564
    Reputations:
    98
    в ОД еще ip имеет значение.
     
  3. CallMe666

    CallMe666 New Member

    Joined:
    19 May 2015
    Messages:
    8
    Likes Received:
    0
    Reputations:
    0
    Не имеет. Пробовал заходить с четырех разных прокси на одних и тех же куках - логинится без вопросов. Ни СМС на телефон, ни писем на почту.
     
  4. makag

    makag Staatsanwalt

    Joined:
    27 Sep 2009
    Messages:
    478
    Likes Received:
    564
    Reputations:
    98
    ну вот я тоже как бы экспортирую куки находясь на украинском айпи, а потом закидываю куки на сервер в Санкт-Петербурге, - ставлю на крон, вечный онлайн в ОД.

    процентов 80 аккаунтов благополучно логинится, а примерно %20 акков - приходит смс на телефон - проверочный код, вы зашли из необычного места, бла-бла-бла.

    Все акки - свои, саморег, и использование их идёт исключительно на двух провайдерах - один RU второй UA.

    При этом логин по адресу почту+пароль из под впн от hideme - всегда без проблем.

    Так что это имеет место быть. Закономерность еще не выяснил -) Все акки одинаковые .
     
  5. CallMe666

    CallMe666 New Member

    Joined:
    19 May 2015
    Messages:
    8
    Likes Received:
    0
    Reputations:
    0
    А какая кука отвечает за прохождение авторизации через телефон? Просто у меня есть логины и пароли, но надо беспалевно зайти в аки, чтобы не приходила смс на трубку.
     
  6. makag

    makag Staatsanwalt

    Joined:
    27 Sep 2009
    Messages:
    478
    Likes Received:
    564
    Reputations:
    98
    думаю, что не в куках дело, но я не специалист, могу ошибаться.
     
  7. StiGaBeasT

    StiGaBeasT New Member

    Joined:
    8 May 2015
    Messages:
    11
    Likes Received:
    3
    Reputations:
    0
    Пару раз экспериментировал с куками, другими машинами и телефоном. На сколько я понял, куки не отвечает за авторизацию через телефон. Возможно, сейчас уже идет сверка и браузера и IP машины - не проверял.
     
  8. multiman

    multiman New Member

    Joined:
    26 Nov 2013
    Messages:
    51
    Likes Received:
    2
    Reputations:
    0
    Может быть к MAC-адресу железа привязано?
     
  9. StiGaBeasT

    StiGaBeasT New Member

    Joined:
    8 May 2015
    Messages:
    11
    Likes Received:
    3
    Reputations:
    0
    А мы говорим конкретно и только про PC авторизацию..?
    Допустим с того же телефона - заходил с браузера в ВК - логинишься (с смс). Заходишь через ВК клиент - логинишься заного так же. Заходишь через n+1 браузер - все равно логинишься с смс.
    Заходил с ноутбука через mozilla - авторизовался на сайте (с смс). Захожу с оперы - снова авторизуюсь на сайте, но уже без смс.
    Заходил с PC с той же подсети - повторяется ситуация как с ноутбуком.

    ИМХО, имеется следующая ситуация: при первом заходе на машине происходит первичная полная авторизация. Дальнейшие заходы с этой машины, но через другие сервисы, приводят ко вторичной (читай - неполной) авторизации. То есть ты так же вводишь данные, но уже без указания мобильного/смс-кода (и тп).
    Идея закинуть куки жертвы на другую машину и зайти мне кажется маловероятной из-за уникальных данных каждой машины. По крайней мере, с ВК мне кажется не прокатит. С Одноклассниками шанс повыше (имхо сервис у них так себе).
     
  10. CallMe666

    CallMe666 New Member

    Joined:
    19 May 2015
    Messages:
    8
    Likes Received:
    0
    Reputations:
    0
    Писал сегодня в саппорт одноклассников (вежливость - лучшее оружие вора). Сказали, что у них на сайте вообще отсутствует двухфакторная авторизация:
    "Наш сайт может потребовать подтверждение по СМС, только после блокировки вашего профиля. Если с вашим профилем всё ОК, то вы должны заходить на сайт без подтверждающего кода.
    Сожалеем, но функции двухфакторной аутентификации нет на нашем сайте."
    Так что с ОК вопрос отпал сам собой, ибо логины с паролями уже и так есть.

    С ВК дела обстоят так:
    куки сохраняются на два домена: login.vk.com и vk.com, меня интересует первый, ибо там храняться все данные об авторизации. Там пять переменных. В одной храниться ID пользователя (причём даже не зашифрованый). Что конкретно делают остальные четыре сказать не могу. Но при переносе этих КУК в ЛЮБОЙ браузер, на ЛЮБОЙ машине (испытывал на трех разных компах, на разных прокси) контач их хавает на раз. НО!!!!!! Кука с данными о том, что бразуер прошёл авторизацию через СМС храниться в данных о домене VK.COM (а там данных куда больше) и зашифрована в MD-5. Но не смотря на это, эти куки тоже хваются контачом без проблем при переносе на любую машину.
     
  11. CallMe666

    CallMe666 New Member

    Joined:
    19 May 2015
    Messages:
    8
    Likes Received:
    0
    Reputations:
    0
    Опера автоматом копирует в себя все куки с машины, где устанавливается. Поэтому и авторизовалось без кодов всяких. Я не думаю, что контач разделяет куки по IP или ещё каким-то подобным данным - это слишком неудобно для юзеров.
     
  12. StiGaBeasT

    StiGaBeasT New Member

    Joined:
    8 May 2015
    Messages:
    11
    Likes Received:
    3
    Reputations:
    0

    Неудобно для юзеров, но я смотрю безопасность они латают на раз-два. Но что вк разделяет куки по ип - это сугубо моё мнение.
     
  13. Dimon15

    Dimon15 New Member

    Joined:
    15 May 2015
    Messages:
    10
    Likes Received:
    0
    Reputations:
    0
    Я работал через эмулятор. каждый раз перед заходом в вк чистятся куки и кеш и генериться юзер-агент. Смс ни разу не требовало. Но когда заходишь через IP не СНГ требует ввести недостающие цифры номера телефона. На сколько я знаю логинится по смс приходиться только после того как вк замораживает профиль из-за каких то нарушений правил.
     
  14. CallMe666

    CallMe666 New Member

    Joined:
    19 May 2015
    Messages:
    8
    Likes Received:
    0
    Reputations:
    0
    Нет, смс приходит каждый раз, как пытаешься залогиниться с компьютера, на котором нет контактовских куков. Если удалить все куки в бразуере и залогиниться, то полюбому придет СМС. ЕСЛИ, конечно, в настройках аккаунта включено подтверждение авторизации.
     
  15. Dimon15

    Dimon15 New Member

    Joined:
    15 May 2015
    Messages:
    10
    Likes Received:
    0
    Reputations:
    0
    Мне ни разу ничего не приходило. боты работают без подтверждения по смс. Каждый раз перед залогиниванием бота чистятся куки и кеш и ставиться прокси. Бот только капчу разгадывает и дописывает недостающие цифры. Ботовод сам писал на Зене.
     
  16. CallMe666

    CallMe666 New Member

    Joined:
    19 May 2015
    Messages:
    8
    Likes Received:
    0
    Reputations:
    0
    Ну, я имел ввиду обычный бразуер, а не вспомогательный софт. То есть способ, когда можно получить полный доступ к аккаунту. Бот ведь не сможет снифить сам по себе никакой инфы с аккаунта.
     
  17. Dimon15

    Dimon15 New Member

    Joined:
    15 May 2015
    Messages:
    10
    Likes Received:
    0
    Reputations:
    0
    Ну Зена сама эмулирует юзер агент в том числе браузер. А значит робот вк с ботом должен обращаться также как и с обычным пользователем. Может я чего-то не понимаю, но я сталкивался с подтверждением по смс только при заморозке профиля и когда создавал в вк приложение.
     
  18. CallMe666

    CallMe666 New Member

    Joined:
    19 May 2015
    Messages:
    8
    Likes Received:
    0
    Reputations:
    0
    Попробуйте авторизоваться через обычный браузер, где нет куков с авторизуемой страницы. Если в настройках включено подтверждение авторизации и указан номер телефона, 100% придет СМС на этот номер. Есть способы обойти это путем SQL-инъекций, но контач часто меняет тип и содержание принимаемых и отправляемых кук, плюс, дыры они латают хорошо, так что те инъекции, которые работали, скажем, год назад, сейчас уже не актуальны. Если бы знать, какие именно данные зашифрованы в куках, все стало бы намного проще. Но, увы, это крайне сложно, если не сказать больше. Плюс, некоторую инфу в куках, я уверен, сервак генерит на месте, при авторизации, что добавляет ещё больше сложностей. Короче, я пришел к выводу, что самый простой способ ломануть страницу ВК, для меня, не "кулхацкера", - это снифать куки из авторизованного браузера, с помощью, скажем ссылки в электронном письме. Для людей более профессиональных, можно пошаманить напрямую с базами контача и попытаться выудить нужную инфу прямо оттуда.
    С ОК дела обстоят проще: там двухфакторной авторизации вобще нет, но если попытаться авторизоваться с IP, который отличается от привычных регионов адресов, с которых ты логинился, то тоже попросит код из СМС для подтверждения.