https://vk.com/dev/api_requests
Дальше сам, пожалуйста. ЯД свой в анус себе засунь.

>>1679628 (OP)
>access_token и sig (ее акаунта?)
Нет, не аккаунта, а запроса.
>Можно ли с ними получить доступ к сообщениям?
Можно получить только ответ на тот запрос, который поймал полностью.
>как инициировать повторный логин на VK апке человеком посредине
Отправляешь в ответе инструкцию сбросить куки, приложение авторизируется, ты сосёшь хуй, потом что авторизация только по https.

>>1679648
И никак нельзя пострипать? Неужели vk нельзя заМИТМить?

>>1680166
https://youtu.be/5d8yniGL2G0

>>1680228
>осталось каким-то волшебством достать secret
Удачи. Митм-эксперт уже ответил: для широких масс это недоступно.

>>1680256
Это же нихуя не митм, ева - просто пассивная прослушка.
Если ева для элис представится бобом, а для боба - элис, то атака будет удачной. удачной потому что элис и боб никак не могут проверить подлинность собеседника, так как никогда не встречались.

>>1680259
Спасибо за ответ, как я понимаю на этой апке происходит oauth авторизация и хрен ее перехватишь. Выходит использование апликух народом это на порядок секьюрнее и надежнее для них же, потому что не поддается взлому? И еще вопрос - если человек запрашивает https://vk.com его невозможно редиректнуть на http://vk.com? Получается это та же защита как и в случае с oauth авторизацией?

>>1680380
>не поддается взлому
Почему же не поддаётся? Ты вон запрос перехватил и получил его содержимое — ещё как поддаётся. Но ничего сверх этого у тебя наверняка не получится.
>если человек запрашивает https://vk.com его невозможно редиректнуть на http://vk.com
>это та же защита как и в случае с oauth авторизацией
Не знаю, что там за oauth-авторизация, но знаю, что авторизация в современных клиентах происходит по https. И да, редиректнуть с https на http в общем случае нельзя.
В конкретных случаях есть атаки, позволяющие вмешаться в SSL, нужно тестировать конкретный клиент — проверяет ли он валидность сертификата, не позволяет ли он сделать downgrade на слабый метод шифрования.
Если есть серьёзное желание, посмотри в сторону недавних уязвимостей POODLE/FREAK/чё-там-ещё. Вроде бы, в Intercepter-NG есть какие-то реализации.

>>1680418
>Если есть серьёзное желание, посмотри в сторону недавних уязвимостей POODLE/FREAK/чё-там-ещё.
Во всех бразуерах эти уязвимости закрыли через пару часов после релиза, выпилом экспортных шифров и SSLv2.

>>1680451
У его самки же андроид вместо операционки, там порой после выхода вообще ничего не обновляют.

Почему на этой доске так часто всплывают школьники с сосущими Ерохину Еотовыми?

>>1680228

secret чего? какое приложение у нее было на телефоне? сикреты айфон и виндовс фонов например в открытом доступе лежат, я их юзаю постоянно для прямой авторизации, чтобы с ouath не ебаться

>>1680830
>в открытом доступе лежат
Прям на экране показывает? Думаю, если бы у опа был доступ к телефону, он бы не задавал таких вопросов.

>>1680832

каком экране? ты знаешь как работает авторизация через апи вк? если ты используешь обычный ouath, то нужен только app id, а потом логин и пароль, и жертва в окошке жмякает кнопочки и ты на выходе получаешь токен

либо же прямая авторизация - при прямой авторизации ты сразу же получаешь токен, вот как раз таки для нее нужно предоставлять помимо app id еще и app secret (которые можно спиздить в инете) - в итоге один гет запрос и у тебя токен

поэтому зачем ОП упомянул сикрет я хуй знает

>>1680838
Экране телефона. Тред вообще читал?

>>1680838>>1680888
Впрочем, не отвечай, я уже понял, где ты петух.
Вот этот secret https://vk.com/dev/api_nohttps

>>1680891

Я петух? Он сказал, что у него есть токен и сиг. Нахуй ему еще что-то нужно? Пусть читает ту ссылку, которую ты дал. Токен и сиг - путь к успеху, ничего больше уже не нужно

>>1680894
Если бы ты говорил не с дивана, а имел чуток практики, то знал бы, что этот access_token работает только для http, а для http нужно знать её и secret, который упомянут по ссылке выше.

>>1680901
>знать ещё и secret
fix

>>1680902

sig вычисляется как:
md5('Строка_запроса' + secret)

пример url запроса:
http://api.vk.com/method/users.get?user_ids=66748&access_token=895bd27c895ad6c089cfa8d3378947e1899895d8958693ffe76cd8991274d19&sig=6cabf939643c04c977737aab4ef159b8]

сиг у него уже есть

>>1680904
Какой же ты тугодоходящий. Посмотри внимательно на то, что ты сам процитировал:
>sig вычисляется как:
>md5('Строка_запроса' + secret)
Слова «Строка запроса» видишь? Они недвусмысленно намекают на то, что sig для каждого запроса будет разным.
У него есть sig одного-единственного запроса. Он может повторить его и получить ответ на этот единственный запрос, не более (да и то, есть access_token не истёк).

>>1680905

Ну сори тогда, обосрался. У меня опыт с вк апи только со standalone приложениями, с такой штукой не сталкивался

>>1680451

ssl strip это не отменяет

ОП на связи, нихуя не получается, как на сайтиках форумах посмотришь так у всех акаунты угнали, как самому понадобилось переписку получить так хуй там. Разве что дибилушкам ссылки суют на форму авторизации самодельную, но у меня такой номер не прокатит. Горит пиздец

>>1680969
Прозреваю, что аппа vk не даст петушкам возможности нажать «Мне срать на недоверенный сертификат, пустите!».
>>1680973
Она скачет на хуе Ерохи, можешь ничего не делать.

>>1680987
да скачет и скачет, от меня все равно нихуя не получит, у меня немного другой интерес. Апка наверняка пошлет нахуй при попытке подсунуть самозванный серт, и просто ничего не грузанет. Где же вы, кулхацкеры, которые умеют применять ддос-атаку?

>>1681071
Что тебе ещё надо? Я уже сказал, в какую сторону гуглить.

>>1680987
>Прозреваю, что аппа vk не даст петушкам возможности нажать «Мне срать на недоверенный сертификат, пустите!».

А вот хуй его знает. Но собственно речь шла не об этом. Для чего рассматривать только один вектор атаки?