ANTICHAT

ANTICHAT (https://forum.antichat.io/index.php)
-   Песочница (https://forum.antichat.io/forumdisplay.php?f=189)
-   -   Как определить УРЛ спрятанной картинки на форуме? (https://forum.antichat.io/showthread.php?t=378208)

Igor_R 28.03.2013 14:45

На одном сайте при заливке картинок они не видны посторонним пользователям, а видны лишь тому пользователю, кто залил картинку, из его аккаунта.

В свойствах этих картинок высвечиваются ссылки таких видов (адрес сайта я заменил звездочками):

http://************/_photo/image.php?s=t&n=9836954536659697

http:// ************/_photo/image.php?n=9836954536659697

Вопрос: как определить адрес этих картинок в виде http://************/**************.jpg , чтоб они были видны всем пользователям, а не лишь владельцу картинки из его аккаунта? Это вообще возможно?

BigBear 29.03.2013 20:32

Описанная ситуация означает, что картинки хранятся в БД и ссылки на них могут быть сгенерированы как автоматически, так и просто браться названия и заноситься в бд проходя md5() преобразования.

Поиск нужного пути - одна из самых типичных и трудоёмких задач при атаке. Есть софт который тупо перебирает директории, но это сработает лишь если директория открыта на просмотр (Directory Listing). - Кстати вот и ответ, "чем плохи открытые для посмотра директории".

Igor_R 31.03.2013 02:17

Цитата:

Сообщение от BigBear
Описанная ситуация означает, что картинки хранятся в БД и ссылки на них могут быть сгенерированы как автоматически, так и просто браться названия и заноситься в бд проходя md5() преобразования.
Поиск нужного пути - одна из самых типичных и трудоёмких задач при атаке. Есть софт который тупо перебирает директории, но это сработает лишь если директория открыта на просмотр (
Directory Listing
). - Кстати вот и ответ, "чем плохи открытые для посмотра директории".

Спасибо, BigBear

Те директории закрыты от просмотра.

Получается, ситуация безвыходная?

BigBear 31.03.2013 21:08

Выходит, что так.

KIR@PRO 08.04.2013 15:14

ты бы ссылочку выложил, может и выяснилось чего... а так согласен с остальными высказываниями.

Бывает, что тот кто писал движок, пытался запутать пользователя, и не создавал базы, а геморойно запрятывал ссылку, чтоб ручками долго искать было... (сталкивался с такими случаями, но это было пару раз)

Igor_R 09.04.2013 00:28

Цитата:

Сообщение от KIR@PRO
ты бы ссылочку выложил, может и выяснилось чего... а так согласен с остальными высказываниями.
Бывает, что тот кто писал движок, пытался запутать пользователя, и не создавал базы, а геморойно запрятывал ссылку, чтоб ручками долго искать было... (сталкивался с такими случаями, но это было пару раз)

KIR@PRO, ответил в личку.

John_Doe 04.05.2013 01:48

есть мысль, что проще всего использовать брутфорс. если есть возможность, посмотри свой ид и поищи похожие числа в ссылке картинки, вдруг админ написал такой движок, что генерируется имя файла ид+цифры из мд5 хеша или что-нибудь такое.

Igor_R 04.05.2013 19:41

John_Doe, там нет id - есть только буквенные логины

* * * * * * * * * * * * * * * * * * * * * * *

И вот еще вопрос, задам тут чтоб не плодить топики.

Сорри если такой вопрос поднимался

В общем, можно ли по УРЛ картинки из Вконтакте узнать, какому пользователю принадлежит фото?

Для примера я взял первую попавшуюся

картинку из альбома первого попавшегося пользователя:

http://cs1229.vk.me/u187687/71897775/x_2d378e59.jpg

Есть ли механизмы/алгоритмы/программы и т.д., позволяющие определить, кому принадлежит фото?

VY_CMa 04.05.2013 19:56

http://cs1229.vk.me/u187687/71897775/x_2d378e59.jpg

http://vk.com/id187687

http://makescreen.ru/ii/b5a0753ab30f...2514f910d0.jpg

Igor_R 04.05.2013 20:53

Цитата:

Сообщение от VY_CMa
http://cs1229.vk.me/
u187687
/71897775/x_2d378e59.jpg
http://vk.com/id187687
http://makescreen.ru/ii/b5a0753ab30f...2514f910d0.jpg

VY_CMa, спасибо!


Время: 15:59