Klikdeking sau cum se afla om id-ul VKontakte care a venit la site-ul

Acasă »Experiența personală“ click-jacking sotsfishing cum ar fi, a scrie un script pentru utilizator id Vkontakte

Dar ceea ce este click-jacking? La această întrebare există un răspuns clar - un fel de fraudă prin care un necinstite proprietarii de site-ul pune la butoane invizibile, link-uri, pictograme, forțând vizitatorul să facă clic pe ele. De exemplu, o astfel de metodă poate fi oameni în impachetari grupului și pagina publică. Ideea, în general, la fel ca și realizarea. În acest caz, pentru comunitatea widget butonul ascunde și, sub pretextul de a obține reduceri sau acces la secțiunea privată a site-ului, forțat să apăsați pe el. Ca urmare, există o interceptare clică și redirecționeze către membri.

Întregul proces de urmărire de identificare (ID) Profil numit sotsfishingom. Puteți găsi o mulțime de site-uri și servicii care furnizează acest serviciu pe baza acestui instrument. Desigur, nu este liber și nu este în întregime în condiții de siguranță. Deși, cel mai probabil pe aceste resurse pe care le vor găsi argumente convingătoare pentru a inversa. Doar plăti banii, instalați o bucată de cod și de a fi fericit de a comunica cu noi clienți potențiali. Suntem în acest articol va face totul singuri, și doar pentru scopuri educaționale!

Media cere 5 ruble pentru definiția de un vizitator, dar „plătească“, poate fi mult mai scumpe - și anume, în scădere pozițiile lor la livrare. Nu a fi nefondate Aici sunt link-uri la două post recent de pe blog-ul Yandex: legate de click-jacking №1 și legate de clic pe nr.2-jacking.

Klikdeking sau cum se afla om id-ul VKontakte care a venit la site-ul

Din ceea ce putem concluziona că puteți utiliza, dar pe propriul risc. Desigur, în cazul în care site-ul primește cea mai mare parte a traficului prin căutare - mai bine să renunțe la idee, iar dacă utilizați directivele sau AdWords, apoi, totuși, în principiu, puteți încerca. De-a lungul timpului, cred că, utilizarea va fi pedepsit mai greu - până la îndepărtarea de căutare, dar este presupunerea mea. Un fapt interesant este faptul că pedeapsa va numai site-uri care folosesc click-jacking sotsfishinga ca specie, dar nu și serviciile oferite de statisticile colectate.

Deci, tema extinse și interesante, și avem nevoie de un plan pe care, și vom face cu ea:

  1. Un pic despre ea: Fitch sau vulnerabilitate;
  2. Înregistrează-te vidzhity VC pentru serviciul nostru;
  3. clicuri interceptare principiu;
  4. Arhitectura de aplicare, de codificare, precum și alte obiecte mici;
  5. Vom continua să scrie scenariul, umple configurările și funcții;
  6. Umple inc.php și începe să scrie watch.php;
  7. Lucrăm la conținutul iframe;
  8. Am terminat de scris scenariul și completați handler.php;
  9. Concluzie.

Fitch sau vulnerabilitate, cum putem scoate utilizator id VC?

Personal, se aplece mai mult la a doua opțiune - vulnerabilitatea și acum vedem de ce este așa. După cum era deja clar prin metode convenționale pentru a obține utilizator id-ul VC nu se întâmplă (prin API), dar avem widget-uri mari pentru site-uri și înțelegere a click-jacking. Da, vom prinde VC utilizator prin intermediul widget-uri sale, și avem nevoie de doar două dintre ele, în scopul de a atinge obiectivele noastre. Acum ne fiecare widget să ia un moment să-l ia în considerare. Daca pur si simplu nu poate ghici modul în care acestea vor fi utilizate, nu vă faceți griji - atunci când scrieți script-ul nostru, totul va cădea în loc.

Deci, ce sunt provocările cu care ne confruntăm la scrierea scenariului?

Klikdeking sau cum se afla om id-ul VKontakte care a venit la site-ul

A doua problemă - este definiția unui vizitator identificator (id profil). Pentru a face acest lucru avem nevoie de un widget care poate fi legat la o pagină unică. Butonul cel mai frecvent folosit „Like“ și am folosi de asemenea bine.

După un vizitator face clic pe butonul, care, desigur, ne vom ascunde și podsunem sub cursor, vom fi în măsură să se aplice prin intermediul VC API pentru a obține o listă de persoane care layknuli această pagină. Aici se află vulnerabilitatea. Faptul că putem lega widget-ul la orice pagină, și apoi a afla lista de utilizatori l layknuvshih, și ne permite să identifice utilizatorul la alte site-ul VKontakte folosind instrumente suplimentare.

Înregistrează-widgeturi VC

Înainte de a începe scrierea definiția scripturilor de utilizator id Vkontakte, a crea o aplicație id VC prin care vom adăuga două widget-uri menționate mai sus. Se face prea mult sens pentru a crea un widget pentru fiecare aplicație, astfel încât să creați numai sub butonul „Like“. Pentru a face acest lucru, du-te la pagina VKontakte widget-ul și butonul alege.

Klikdeking sau cum se afla om id-ul VKontakte care a venit la site-ul

Klikdeking sau cum se afla om id-ul VKontakte care a venit la site-ul

Ne reafirmăm intențiile lor prin introducerea captcha. După aceea, se creează widget-ul și id-ul aplicației primit. Cu această metodă nu este necesară pentru a confirma crearea de aplicații folosind mesaje SMS.

Klikdeking sau cum se afla om id-ul VKontakte care a venit la site-ul

Asta e, trece deja la codul de scriere directă!

clicurile intercept principiu (după pornire deja precisă scrierea scenariului)

În acest moment, nu voi fi declama mult timp, dar eu pot spune doar esența acestui principiu. Atunci când un vizitator și potențialul utilizator trece de la un VC este conectat la site-ul de serviciu, am liniște pentru el pentru a adăuga pagina iframe cu widget-uri atașate cursorului. Desigur, folosind stilurile le ascunde, de exemplu, indica opacitatea la 0. Vidzhity în iframe este poziționat astfel încât cursorul a fost pe butonul „Like“:

Klikdeking sau cum se afla om id-ul VKontakte care a venit la site-ul

Odată ce utilizatorul face clic, va trebui să eliminați iframe atașat la cursorul și să îi permită să lucreze cu site-ul în modul standard. Apoi, puteți întreba, și cum să-l facă? După toate iframe nu poate trimite date de la domeniul site-ului, dar această sarcină va trebui să decidă atunci când scrieți un scenariu.

Structura aplicații PHP și etapele pregătitoare

În acest articol am de gând să fac un exemplu pe serverul local (acum am folosi în practica mea, și Open Server), prin urmare, este necesar să se identifice numele de domeniu pentru a analiza structurii:

  • test site.loc - este un exemplu de site-ul care va prinde vizitatorul;
  • test scripts.loc - numele este deja clar că acesta este un loc în care ne-am pus scenariul nostru (este folosit pentru a crea aplicații VC).

Trecând mai departe, pentru a testa-scripts.loc getVKid crea un director și du-te la conținutul său:

Structura cererii, cred că, desigur, să umple primele câteva fișiere și să înceapă cu .htaccess. Este de menționat pe UTF-8 codificarea serverului:

În continuare, vom merge la index.php si umple-l cu ciot HTML simplu:

Acum, avem nevoie pentru a conecta site-ul la testul-site.loc serviciul nostru viitor acest lucru se va face prin adăugarea următoarelor linii:

Cu siguranță, veți vedea de multe ori desene sau modele similare. Cu acest cod, vom conecta dinamic watch.php nostru, care a fost menționat mai sus. Al doilea parametru al funcției anonim va da o cheie unică pentru fiecare dintre site-ul de contact conectat, care va fi comparat în aplicația de configurare. Al treilea parametru specifică calea către script-ul.

Păstrați scris de serviciu, configurările și funcții

Fișierul configs pentru a împărți firele de păr mai ales nu vor, și va crea o serie de setări, există sub o serie de site-uri conectate și cheie la acestea:

Acum, du-te la functions.php și umple-l cu primele trei funcții, avem nevoie pentru a ține evidența tipului de cerere:

Mai mult, două șir de curățare și date numerice:

Și ultima funcție pentru a verifica site-ul de conectare de pe cheie:

În primul rând, să vorbim despre inc.php. În dezactiva eroare, specificați codificarea și conectați configurările și caracteristici:

Acesta este încă un alt test pentru conformitatea cu domeniul conectat și cel pe care este instalat codul. Trecând mai departe, și o altă parte a auditului:

Definim sprijin browser-ul script-ul. Noi cerne prin intermediul dispozitivelor mobile și browsere, în care cookie-urile sunt dezactivate.

Funcția getTime (), avem nevoie pentru a determina timpul pentru a intercepta ID-ul utilizatorului VKontakte, am adăugat doar un pic statistici în consolă, aceasta nu poate afecta nimic. Ceea ce urmează este o modalitate de cross-browser de a atașa evenimente la elementele - acest cod poate fi ușor de găsit pe internet:

Și două funcții pentru a seta cookie-uri și pentru a primi:

Completați ultima bucată de cod și explicații am lăsa deja sub el:

Scrieți un cod pentru a se conecta la plugin-uri satul iframe.php

Am ajuns treptat la sfârșitul articolului, iar acum vom scrie capcana noastră pentru vizitatori:

Următorul este codul pentru inițierea vidzhitov noastre prin VC cerere ID:

Acum ne conectam butonul „Like“:

Dacă examinați documentația VC, atunci este posibil să se găsească o modalitate de a ține evidența adăugat utilizatorului sau curățat Ca și pe o pagină.

Cu ajutorul top.postMessage () ne-a ne trimite mesaje înapoi la site-ul de testare. Datorită faptului că nu am folosit jQuery, ne-am dovedit nu mic cod de interogare la server, dar ne-am salvat la încărcarea bibliotecii.

Aici, după cum puteți vedea, nu este nimic special de spus: tot codul adăugat la funcția setInterval (), ținând seama de faptul că Vijay se poate scufunda imediat. Asta e, am terminat cu iframe id-ul și stânga pentru a ajunge pe pagina generat.

Trageți VC ID

Handler handler.php curățăm datele transmise atunci când cererea și ajax formează o legătură în API-ul VC. Cu ajutorul file_get_contents () face o cerere și de a lua nostru vizitator id râvnit.

Aceasta încheie serviciul de scriere. Și când faceți clic pe consola, a se vedea următoarea imagine:

Klikdeking sau cum se afla om id-ul VKontakte care a venit la site-ul

concluzie

Am făcut destul de mult de lucru în acest articol și pregătiți-vă pentru punerea în aplicare a sotsfishinga script-ul. Apoi, puteți în condiții de siguranță pentru ID-ul VKontakte utilizator obține toate datele disponibile prin intermediul API (numele, interesele, etc) și salvați-le într-un fișier, baze de date, sau chiar permite să trimită prin poștă. Pe baza acestui algoritm este scris o mulțime de sisteme CRM pentru utilizarea pe care trebuie să plătească bani reali - așa cum am scris mai sus, o medie de 5 ruble per definiție. Acum, că știi ce sotsfishing și principiul său de lucru, te va fi extrem de precauți atunci când vizitează diverse site-uri, cu excepția cazului în care doriți să obțineți un spam-suplimentar într-un aspect personal, sau alte probleme posibile. Ultimul lucru pe care vreau să menționez în acest articol - este procentul de vizitatori care poate fi definit. În multe resurse de scriere destul de mare, dar după cum se poate vedea, acest lucru se poate lucra numai pe PC-uri și în browsere moderne. M-am testat la mai multe magazine online și va spune un singur lucru: da, oamenii vin peste, desigur, nu 30-70%, așa cum se spune pe resursele, dar procentul de 5-10% din cuvinte posibile.

Având în vedere că politica de securitate a fost modificat de mai multe widget-uri de rețea, script-ul din articol funcționează parțial.

Klikdeking sau cum se afla om id-ul VKontakte care a venit la site-ul

Klikdeking sau cum se afla om id-ul VKontakte care a venit la site-ul

Da, și codul pe care trebuie să adăugați la testul-site.loc face lucrurile să meargă?

Klikdeking sau cum se afla om id-ul VKontakte care a venit la site-ul

Răspunsul a fost dat prin e-mail de sprijin.