• XSS.stack #1 – первый литературный журнал от юзеров форума

Нужна помощь с VK API, кликджекинг

Отслеживать
DigitalScout

DigitalScout

(L3) cache
Пользователь
Регистрация
18.05.2022
Сообщения
189
Реакции
115
Пишу статью про использование кликджекинга в Digital-разведке, конкретнее, деанонимизации.
Теория уже есть, если кому интересно : https://telegra.ph/CHto-takoe-klikdzheking-kak-ego-sozdat-i-kak-ispolzovat-v-Digital-Razvedke-07-31
Есть тут люди, кто может написать код виджета для авторизации используя вк на моём сайте, а я уже сам подрублю код к сайту?
Буду благодарен.
 
Я не берусь на 100% утверждать, что рабочего способа кликджекинга для VK.com сейчас нет, НО:
- на дворе не 2014 год, после регистрации VK на hackerone большинство способов сдохло, как и сервисов, которые их использовали (ради любопытства прочекал старые закладки, вижу что живы два сервиса только - socfishing.com и soceffect.ru, при этом у меня нет уверенности в том, что они работают, проверять времени нет)
- после того как база ВК со взлома уплыла в полуприват - с помощью кликджекинга можно было не только деанон делать, но и более веселые вещи, лол (собственно это и причина, почему ВК начали плотно бороться с явлением)

Так что никто тебе виджет писать не будет, тем более бесплатно :) Тем не менее - шансы купить решение до сих пор есть, вот попробуй побеседовать с людьми из списка: https://hackerone.com/vkcom/thanks (не по офиц контактам только, вк выкинули из-за санкций с hackerone, так что лишние деньги никому не помешают).

P.S. Если найдешь рабочую реализацию, с помощью которой можно определять хотя бы ПРОФИЛИ слитого трафика на скрипт (не важно - с сайта или нет, я разберусь, лол) - могу скинуться с тобой вместе на нее, интерес есть.
 
bratva сказал(а):
Я не берусь на 100% утверждать, что рабочего способа кликджекинга для VK.com сейчас нет, НО:
- на дворе не 2014 год, после регистрации VK на hackerone большинство способов сдохло, как и сервисов, которые их использовали (ради любопытства прочекал старые закладки, вижу что живы два сервиса только - socfishing.com и soceffect.ru, при этом у меня нет уверенности в том, что они работают, проверять времени нет)
- после того как база ВК со взлома уплыла в полуприват - с помощью кликджекинга можно было не только деанон делать, но и более веселые вещи, лол (собственно это и причина, почему ВК начали плотно бороться с явлением)

Так что никто тебе виджет писать не будет, тем более бесплатно :) Тем не менее - шансы купить решение до сих пор есть, вот попробуй побеседовать с людьми из списка: https://hackerone.com/vkcom/thanks (не по офиц контактам только, вк выкинули из-за санкций с hackerone, так что лишние деньги никому не помешают).

P.S. Если найдешь рабочую реализацию, с помощью которой можно определять хотя бы ПРОФИЛИ слитого трафика на скрипт (не важно - с сайта или нет, я разберусь, лол) - могу скинуться с тобой вместе на нее, интерес есть.
С самим виджетом помогли. Теперь буду кнопку прозрачной делать и поверх какую-нибудь надпись. Но то, что я сейчас делаю на практике не годится. Это тест из разряда "Возможно ли вообще". Ну а потом, если заморочиться с идеей, дизайном сайта - пожалуйста.
 
DigitalScout сказал(а):
С самим виджетом помогли. Теперь буду кнопку прозрачной делать и поверх какую-нибудь надпись. Но то, что я сейчас делаю на практике не годится. Это тест из разряда "Возможно ли вообще". Ну а потом, если заморочиться с идеей, дизайном сайта - пожалуйста.
Ты можешь расшарить это тут с минимальным хайдом (чтобы не слили ВК), мне интересен ход твоих экспериментов (и не только мне).
 

De-anonymization via Clickjacking in 2019

This blog post is about my journey to understand the current practice of de-anonymization via the clickjacking technique whereby a malicious website is able to uncover the identity of a visitor, including his full name and possibly other personal information. I don’t present any new information...
m417z.com


p.s Этот сервис тыц раньше работал отлично
wink.png
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх