Чаму вы не павінны выкарыстоўваць Instagram Private Media Downloader

Выкарыстанне загрузчыкаў прыватных медыя Instagram можа паставіць пад пагрозу ваш уліковы запіс !!!

Фота Радзівона Куцаева на Unsplash

З карыстальнікамі 1B +, ​​Instagram - адзін з найбуйнейшых сайтаў абмену фатаграфіямі, які належыць Facebook. Не толькі фатаграфіі, але і гэта дазваляе відэа. Адным з недахопаў Instagram з'яўляецца тое, што ён не дазваляе нам загружаць размешчаныя ў ім сродкі масавай інфармацыі (нават фотаздымкі), і гэта раздражняе большасць з нас. Калі мы хочам загрузіць фатаграфію, мы павінны выкарыстоўваць некаторыя метады.

Людзі без асаблівых тэхнічных ведаў не ведаюць, як загружаць сродкі масавай інфармацыі з Instagram непасрэдна, і яны выкарыстоўваюць сайты ці прыкладанні трэціх бакоў, каб зрабіць гэта. Шмат прыкладанняў і вэб-сайтаў забяспечваюць функцыю загрузкі сродкаў масавай інфармацыі Instagram, а некаторыя вэб-сайты прадастаўляюць яшчэ адну функцыю пад назвай загрузчык Instagram Private Media. Напрыклад, Insta Downloader.

Пры загрузцы дзяржаўных СМІ праз такія вэб-сайты няма праблем, але загрузка прыватных СМІ праз такія платформы бяспечная ???

Абсалютна няма !!!!!

Праблема

Такім чынам, у чым праблема выкарыстання такіх вэб-сайтаў для загрузкі прыватных медыя?

Па-першае, мы павінны зразумець, што такое прыватныя медыя і як яны працуюць. Прыватныя сродкі масавай інфармацыі - гэта сродкі масавай інфармацыі, размешчаныя з прыватных уліковых запісаў. Гэтыя іншыя загрузнікі не могуць атрымаць доступ да яго напрамую. Замест гэтага яны будуць прасіць нас выконваць пэўныя крокі для загрузкі сродкаў масавай інфармацыі. Ніжэй вы можаце знайсці скрыншот старонкі загрузкі прыватнага СМІ Insta Downloader.

Здымак экрана Insta Downloader

Давайце прааналізуем гэта.

На этапе 1 ён просіць увайсці ў наш уліковы запіс Instagram у аглядальніку. Затым мы хочам, каб уставіць URL паведамлення ў тэкставым полі і націснуць на «Атрымаць фота / відэа». На этапе 3 ён дае нам яшчэ адзін URL і просіць адкрыць яго ў браўзэры. URL-адрас, які яны даюць, - гэта не што іншае, як спасылка з крыніцай гледжання, якая прадугледжана вышэй для URL для прагляду зыходнага кода старонкі. На апошнім этапе яны просяць скапіяваць і ўставіць зыходны код у textarea і націснуць «Загрузіць фота / відэа».

Дык у чым праблема?

На этапе 3 яны прад'яўляюць крыніцу прагляду да URL, які мы ўвялі на этапе 2, і просяць нас адкрыць у браўзэры, і мы павінны ўвайсці ў свой уліковы запіс Instagram. Гэта на самай справе патрабуецца. Яны не могуць атрымаць спасылку на загрузку, калі карыстальнік не ўвайшоў. Але ў гэтым ёсць схаваны рызыка. Каб зразумець гэта, нам трэба разабрацца ў пэўным раздзеле зыходнага кода.

Каля радка 260-265, вы можаце ўбачыць наступны фрагмент JavaScript.

window._sharedData = {"config": {"csrf_token": "5T ** 03 ****************** X8r5A ***", "viewer": {"біяграфія ":" Ваш біялагічны раздзел "," external_url ":" https://example.com "," full_name ":" Ваша імя ", / * і г.д. ... * /}}}

У гэтым радку сцэнар прызначае нейкую інфармацыю глабальнай зменнай _sharedData. Сюды ўваходзіць csrf_token. Калі вы скапіруеце гэты код і ўстаўце яго на сайт загрузніка, ён атрымае ваш маркер csrf.

Для тых, хто не ведае, што такое csrf ці чаму Instagram выкарыстоўвае csrf токен, вось невялікае ўвядзенне.

Падробка крыжавання на сайце - гэта атака, якая ўзнікае, калі ахвяра наведвае вэб-сайт, які кіруецца зламыснікам. Зламыснік можа рабіць адвольныя запыты на іншыя сайты ад імя ахвяры да таго часу, пакуль ахвяра не будзе зарэгістравана на гэтых сайтах. Аглядальнік аўтаматычна дадасць кукі да гэтых запытаў. Сучасныя браўзэры ўвялі мноства функцый, каб пазбавіцца ад такіх нападаў, напрыклад, CORS і запыты перад палётам. Але простыя POST-запыты не адпраўляюць запыт перад палётам (параметры). Ён проста адпраўляе дадзеныя, і сервер будзе апрацоўваць іх. Калі сервер адказвае на гэтыя запыты, браўзэр блакуе адказ, калі CORS не настроены ў загалоўку адказаў.
Каб пазбегнуць гэтага, распрацоўшчыкі выкарыстоўваюць маркер (звычайна гэта хэш-значэнне). Калі запыт зроблены без гэтага маркера, сервер проста адхіляе запыт.
Сумеснае выкарыстанне вашага маркера csrf падобна на доступ да пароля.

Калі вы ўстаўляеце зыходны код на гэтыя вэб-сайты, вы ўсё яшчэ знаходзіцеся на іх вэб-старонцы, вы ўваходзіце ў свой уліковы запіс Instagram, як сказана ім на этапе 1, і вы далі ім свой маркер csrf. У гэтым усё патрэбна хакеру. Яны могуць выконваць адвольныя дзеянні ў Instagram ад імя вас. Яны могуць размяшчаць фатаграфіі, яны могуць пакідаць каментары, напрыклад, фатаграфіі, выдаляць фатаграфіі, абнаўляць свой профіль, а часам, яны могуць абнавіць кантактную інфармацыю і ўзяць на сябе ваш уліковы запіс.

Я не канстатую, што Insta Downloader робіць гэта. Я не падрабязна яе прааналізаваў. Але гэта рызыка, пра якую павінны памятаць усе, перш чым карыстацца загрузнікамі прыватных медыя Instagram альбо наогул, перад тым, як даваць зыходны код вэб-старонкі, на якой вы ўваходзілі, іншым.

Калі вы раней выкарыстоўвалі гэтыя сайты, вы можаце выйсці з сістэмы і зноў увайсці ў сістэму, каб прызнаць маркер csrf несапраўдным. Таксама маркеры csrf заснаваны на часе, таму яны не будуць працаваць пасля пэўнага перыяду часу.

Дзякуй за чытанне.

Глядзіце таксама

У мяне ёсць шорт-ліст, каб купіць Lumia 730. Ці магу я адпраўляць галасавыя запісы праз WhatsApp на гэтым тэлефоне ў якасці выканаўцы дубляжу?Хтосьці адкрыў на мяне ўліковы запіс Instagram, што мне рабіць, каб спыніць іх? Яны выкарыстоўвалі мой адрас электроннай пошты. Ці магу я закрыць яго?Ці ёсць добры спосаб не з'явіцца ў Інтэрнэце на WhatsApp? Гэта сапраўды мяне турбуе.Мне падабаецца дзяўчына. Мы абодва з аднаго каледжа. Мы гадзінамі размаўляем на WhatsApp, але я не ў стане сказаць ёй, што мне падабаецца з-за страху, што яна перастане адказваць на мяне. Што я павінен напісаць ёй, каб даць ёй намёк, што яна мне падабаецца?Якія спосабы адправіць паведамленне WhatsApp больш чым 10000 людзям?Hashtags даволі добра працуюць у Instagram, але яны также работают для Facebook и Twitter?Ці можа публікацыя занадта шмат фатаграфій у Instagram можа прывесці да яе забароны? Калі так, ці ёсць абмежаванне?Як спампаваць WhatsApp са статусам відэа на Samsung Z2?