Security Reverse Engineering vk.com
Данный пост — небольшой отчет о процессе реверсивного проектирования и анализа работы самой популярной соц. сети в СНГ — vk.com. В основном анализ проводился со стороны безопасности (хотя сама соц. сеть весьма привлекательна как high-load проект, безусловно). Для себя вынес некоторые интересные решения и просто получил удовольствие. Пост получился, возможно, немного сумбурный, так углублялся просто в интересные мне моменты.Содержание
Обзор
Архитектура
- php 5.2/5.3
- Периоды нагрузки (отключения автоподгрузки ленты)
- Врапперы в сообщениях
- Разный код для мобильной и полной версий
Security
- Фичи
- Авторизация
- Anti-CSRF токены
- Запрет iframe
- Отключенный POST на контент-серверах
- Фиче-баги
- Узнать возраст через поиск
- Баги
- XSS
- Загрузка документов без имени
- Подгрузка по ajax фото из закрытых альбомов (?)
- Не везде anti csrf
Разное
Читать дальше →
