В этой статье я расскажу о том, как мы можем обойти премиум в tinder и преобразовать лайки в совпадения через уязвимость в их API.
Причина создания этого поста:
Я сообщил об этой ошибке команде разработчиков Tinder, и они дали мне следующий ответ:
Что означало одно из двух:
Хороший материал:
У Tinder есть система Лайков и Отметок.
Когда человек проводит пальцем вверх, вы получаете подобное уведомление, но если вы не являетесь премиум подписчиком, то вы не можете видеть профиль / фотографию пользователя. Все, что вы получите - это размытое фото и возможность купить премиум.
Поэтому, когда я проверял на уязвимости их API, я обнаружил, что tinder размывает изображение на стороне клиента.
Итак, API требует нескольких заголовков запросов, которые можно получить с помощью простых шагов.
Шаг 1: Получите ваш заголовок запроса.
Войдите в свою учетную запись Tinder в браузере, откройте консоль разработчика и выполните поиск следующего запроса.
Шаг 2. Сделайте запрос и получите доступ к фотографии
и сохраните через следующий процесс.
и вуаля! У вас есть желаемое изображение.
Единственный динамический параметр - это X-Auth-Token, который необходимо обновлять после каждой недели или при сбое вызова.
В ходе дальнейшего расследования я обнаружил, что система TIKE LIKE следует системе очередей или FIFO, где для получения изображения каждого человека, который любит вас в Tinder, вы должны соответствовать тому, что присутствует в начале очереди, т.е. ответу на изображение, которое было получено.
Теперь вы ищете свои рекомендации и просто проводите пальцем вправо
Бонус
Система рекомендаций Tinder следует системе круговых очередей, то есть отклоненная вами рекомендация, скорее всего, снова появится в качестве ваших рекомендаций, пока новое изображение не будет добавлено в очередь, что происходит один раз в 24 часа или когда вы меняете свое физическое местоположение.
Кроме того, tinder повышает ваш профиль, когда вы путешествуете в другой штат / страну, и в основном удваивает количество лайков, которое вы, вероятно, получите.
Теперь эта конечная точка извлекает вам изображение и идентификатор вашего недавнего предложения.
Возвращает вам следующий ответ:
Используя некоторую магию OpenCV (чтобы проверить, совпадают ли фотографии) и еще несколько запросов, вы можете автоматизировать процесс поиска и значительно упростить свою жизнь.
Все, что вам нужно сделать - запросы GET, используя те же заголовки запросов, что и выше.
https://api.gotinder.com/like/{id}
https://api.gotinder.com/pass/{id}
Если вышеупомянутое слишком сложно для вас, вы можете просто не использовать это)
У меня нет времени создавать программу, но если кто-то захочет ее создать, я буду рад помочь.
Переведено специально для https://xss.pro
Переводчик статьи - https://xss.pro/members/177895/
Оригинал - https://medium.com/@sansyrox/hacking-tinders-premium-model-43f9f699d44
Причина создания этого поста:
Я сообщил об этой ошибке команде разработчиков Tinder, и они дали мне следующий ответ:
Что означало одно из двух:
- Команда Tinder просто дурачилась и отказали мне в награде.
- Или на самом деле они хотят, чтобы их API работал именно так.
Хороший материал:
У Tinder есть система Лайков и Отметок.
Когда человек проводит пальцем вверх, вы получаете подобное уведомление, но если вы не являетесь премиум подписчиком, то вы не можете видеть профиль / фотографию пользователя. Все, что вы получите - это размытое фото и возможность купить премиум.
Поэтому, когда я проверял на уязвимости их API, я обнаружил, что tinder размывает изображение на стороне клиента.
https://api.gotinder.com/v2/fast-match/previewИтак, API требует нескольких заголовков запросов, которые можно получить с помощью простых шагов.
Шаг 1: Получите ваш заголовок запроса.
Войдите в свою учетную запись Tinder в браузере, откройте консоль разработчика и выполните поиск следующего запроса.
Шаг 2. Сделайте запрос и получите доступ к фотографии
и сохраните через следующий процесс.
и вуаля! У вас есть желаемое изображение.
Единственный динамический параметр - это X-Auth-Token, который необходимо обновлять после каждой недели или при сбое вызова.
В ходе дальнейшего расследования я обнаружил, что система TIKE LIKE следует системе очередей или FIFO, где для получения изображения каждого человека, который любит вас в Tinder, вы должны соответствовать тому, что присутствует в начале очереди, т.е. ответу на изображение, которое было получено.
Теперь вы ищете свои рекомендации и просто проводите пальцем вправо
Бонус
Система рекомендаций Tinder следует системе круговых очередей, то есть отклоненная вами рекомендация, скорее всего, снова появится в качестве ваших рекомендаций, пока новое изображение не будет добавлено в очередь, что происходит один раз в 24 часа или когда вы меняете свое физическое местоположение.
Кроме того, tinder повышает ваш профиль, когда вы путешествуете в другой штат / страну, и в основном удваивает количество лайков, которое вы, вероятно, получите.
Теперь эта конечная точка извлекает вам изображение и идентификатор вашего недавнего предложения.
https://api.gotinder.com/user/recsВозвращает вам следующий ответ:
Код:
{
“status”: 200,
“results”: [{
“distance_mi”: 2,
“common_like_count”: 0,
“common_friend_count”: 0,
“common_likes”: [],
“common_friends”: [],
“_id”: “518d666a2a00df0e490000b9”,
“bio”: “”,
“birth_date”: “1986–05–17T00:00:00.000Z”,
“gender”: 1,
“name”: “Elen”,
“ping_time”: “2014–04–08T11:59:18.494Z”,
“photos”: [{
“id”: “fea4f480–7ce0–4143-a310-a03c2b2cdbc6”,
“main”: true,
“crop”: “source”,
“fileName”: “fea4f480–7ce0–4143-a310-a03c2b2cdbc6.jpg”,
“extension”: “jpg”,
“processedFiles”: [{
“width”: 640,
“height”: 640,
“url”: “http://images.gotinder.com/518d666a2a00df0e490000b9/640x640_fea4f480-7ce0-4143-a310-a03c2b2cdbc6.jpg"
}
}Используя некоторую магию OpenCV (чтобы проверить, совпадают ли фотографии) и еще несколько запросов, вы можете автоматизировать процесс поиска и значительно упростить свою жизнь.
Все, что вам нужно сделать - запросы GET, используя те же заголовки запросов, что и выше.
https://api.gotinder.com/like/{id}
https://api.gotinder.com/pass/{id}
Если вышеупомянутое слишком сложно для вас, вы можете просто не использовать это)
У меня нет времени создавать программу, но если кто-то захочет ее создать, я буду рад помочь.
Переведено специально для https://xss.pro
Переводчик статьи - https://xss.pro/members/177895/
Оригинал - https://medium.com/@sansyrox/hacking-tinders-premium-model-43f9f699d44
