30 Nov, 06
Ich hatte es ja schon angedeutet: Die User-, Album- und Foto-IDs beim StudiVZ sind far from unique. Ich hatte in den Tagen vor dem Blogpost ein bisschen mit den Ids rumgespielt, und sie natürlich auch in ihre binäre Repräsentation umgewandelt, einfach weil es nahe lag. Leider habe ich mir nicht so viel Mühe gemacht wie andere Leute; ich habe aufgehört, nachdem ich festgestellt habe, dass die ersten paar Bits scheinbar recht egal sind.
Jetzt weiß wohl jeder weshalb.
Mein Offset ist übrigens 23.
Und zum Datenbank-Dump nur so viel.
Nachtrag: Jetzt gibt’s €256 pro Bug, was wegen mehrerer Gründe lächerlich ist. Udo findet es jedoch - aus anderen Gründen - interessant.
28 Nov, 06
“studiVZ hat heute um 12 Uhr einen Phishing-Angriff bemerkt und erfolgreich abgewehrt” - wobei “erfolgreich abgewehrt” bedeutet, dass man erst mal alles runtergefahren hat und dann für knapp acht Stunden down war. Der “Phishing-Angriff” (eigentlich ein XSS-Wurm, aber wer wird sich denn mit Details aufhalten wollen) hatte in der Zwischenzeit schon ordentliche Kreise gezogen und Unmengen von Benutzerdaten (Login und Passwort) ausgespäht. Kommt halt alles darauf an, wie man “Erfolg” definiert…
Wer könnte auch ahnen, dass man Benutzereingaben im ‘Web 2.0’ irgendwie filtern müsste.
27 Nov, 06
“Dein Account wurde gelöscht. Vielen Dank dass du das Studiverzeichnis benutzt hast.”
Nochmal zur Erinnerung:
Die Stalker-Gruppe (“*****”):
Nachricht von Tobias W. 2006-07-25 11:45:17
Von: Tobias W.
An: Christian W.
Betreff: Deine Gruppe
Nachricht: Moin Christian,
[…]
Zuerst, okay ich bin ein Mann - also erster Eindruck… Ne, ernsthaft: die Inhalt in deiner Gruppe sind absolut okay […]
Kannst du die Beschreibung bitte in diese Richtung des Fotocontests abäñdern und diese - naja, sagen wir “pornographischen Elemente” - entfernen? […]
P.S.: Einer der Gründer (Michael B.) hätte übrigens gerne ne Einladung für die Gruppe… - ich würd mich dann da auch anschließen;-)
Die öffentlichen Bilder, die schlechten IDs, die Super-Suche, private öffentliche Pinnwände (mit unlöschbaren Nachrichten), immer öffentliche Freundesliste, etc.
Und jetzt noch der XSS-Wurm (und es war nicht die letzte XSS-Lücke).
Viel Spaß noch.
Update: schuehsch auch. 700 notgeile Stalker sind überzeugend, ne?
21 Nov, 06
Jaja, die Leute schreiben immer noch übers StudiVZ. Also schreib ich jetzt endlich mal die Sachen auf, die ich in den letzten Monaten (seit meiner Anmeldung beim StudiVZ, Mitte September) so bemerkt habe.
Das mit den Bilder-URLs ist ja schon stadtbekannt. Natürlich machen alle anderen Großen - wie Xing, flickr, etc. - auch so, und das macht es nicht viel besser, aber das ist ja kein Grund, nicht darüber zu schreiben. Man kann also auf Bilder immer zugreifen, wenn man eine direkte URL hat. Na gut.
Viel interessanter fand ich: Die User-IDs sind nicht unique. Man kann die ersten 8-24 Bits (je nach Länge der ID) recht frei ändern und landet immer noch auf dem selben Profil. Das selbe gilt für die Album-IDs und vermutlich auch für die Bild-IDs. Na, was das wohl für ein Algorithmus ist… *hust*
Jedenfalls kann man so sehr leicht alle Benutzer, Alben und Bilder enumerieren, indem man der showalbum.php beliebige IDs in relativ großen Schrittweiten gibt. Wenn man einen Treffer hat, steht die ‘wahre’, primäre Album-ID (sowie Titel und Besitzer) im Seitenquelltext. Damit kann man dann den Bildserver behämmern. Für nicht-öffentliche Alben muss man dann nur den Rest des Suchraums durchgehen, oder man knackt einfach die ID-Erzeugung. Der Bilderserver geht jetzt schon merklich in die Knie.
Listen aller Alben eines Benutzers gibt’s bei showpeoplealbums.php, wobei auch hier gilt: etwa die Hälfte der ID ist eh wurscht. Es gibt verschiedene Meldungen für “Album ist noch leer” und “hat keine Alben”.
Immerhin hat man durch die eigenen IDs (3-6 Zeichen) gegenüber UUIDs (16-36 Zeichen) Traffic gespart…
Auch interessant: Das StudiVZ benutzt offenbar Smarty und sajax. Smarty, klar, sinnvoll. Sajax, auch sinnvoll, aber hoffentlich haben sie nicht zu viele Funktionen exportiert, auf die Normalsterbliche eigentlich gar nicht zugreifen können sollten. Na, wer will’s testen?
Was haben wir noch … ach ja, das mit den nichtöffentlichen Profilen? Geht ja auch grade durch die Welt… sei es nun friends.php oder profile_guestbook_large.php oder showpeoplealbums.php, man kann sich so ziemlich alle Teile eines “privaten” Profils ansehen. Hübsch. Da fällt auch das “Diese Nachricht wurde von Foobar gelöscht und
wird anderen Mitgliedern nicht mehr angezeigt” nicht mehr ins Gewicht.
Hätte ich mich doch nur noch ein paar Wochen länger geweigert, da mitzumachen! Le seufz! Todo für morgen: Profile meiner Freunde scrapen, mein Profil löschen, Freunde per ICQ anhauen, done. Gute Nacht.
