NFsec Logo

Adresy z Gravatar

05/09/2022 (4 tygodnie temu) w Techblog Brak komentarzy.  (artykuł nr 828, ilość słów: 509)

S

erwis Gravatar umożliwia ustawienie swojego awatara, który będzie miał charakter globalny – ang. Globally Recognized Avatar. Serwis został stworzony przez Toma Perstona-Wernera, a od 2007 roku jest własnością firmy Automattic, która zintegrowała ją z platformą blogową WordPress. Na Gavatarze użytkownicy mogą zarejestrować konto/a na podstawie adresu e-mail i przesłać cyfrowy awatar, który będzie powiązany z tym kontem. Wtyczki Gravatar są dostępne dla większości popularnego oprogramowania do blokowania; kiedy użytkownik umieszcza komentarz na takim blogu, który wymaga podania adresu e-mail – oprogramowanie do blogowania sprawdza, czy ten adres e-mail ma powiązany awatar w serwisie Gravatar. Jeśli tak, to obrazek umieszczony w serwisie Gravatar jest wyświetlany wraz z komentarzem użytkownika.

Adres takiego obrazka możemy skopiować z komentarzy danego wpisu na platformie WordPress. Posiada on schemat:

https://secure.gravatar.com/avatar/00329e7ae0bec897c563611bf2fd7ad0

Ostatni człon to hash MD5 adresu e-mail, który jest tworzony wedle określonych kroków: 1) wycięcie początkowych i końcowych białych znaków z adresu e-mail, 2) zamiana wszystkich znaków na małe, 3) wykonanie funkcji skrótu MD5 na ostatecznej wersji ciągu znaków. Oczywiście nie odwrócimy funkcji skrótu. A z kolei, aby szybko odgadnąć kryjącą się za nią wartość byśmy musieli mieć wystarczającą dużą kolekcję adresów e-mail (z wielu wycieków) i ich wartości hash. Jednak możemy zwiększyć swoje szansę na odgadnięcie adresu e-mail użytkownika Gravatara poprzez kilka żądań HTTP(s). Po pierwsze znając wartość hash możemy wejść na profil takiego użytkownika zmieniając adres na:

https://en.gravatar.com/00329e7ae0bec897c563611bf2fd7ad0.json

W zależności od ilości danych jakie użytkownik wypełnił na portalu możemy otrzymać jedynie jego ksywę / login:

{
 "entry":[
 {
  "id":"321",
  "hash":"00329e7ae0bec897c563611bf2fd7ad0",
  "requestHash":"00329e7ae0bec897c563611bf2fd7ad0",
  "profileUrl":"http:\/\/gravatar.com\/inazwisko",
  "preferredUsername":"inawisko",
  "thumbnailUrl":"https:\/\/secure.gravatar.com\/avatar\/00329e7ae0bec897c563611bf2fd7ad0",
  "photos":[
    {
     "value":"https:\/\/secure.gravatar.com\/avatar\/00329e7ae0bec897c563611bf2fd7ad0",
     "type":"thumbnail"
    }
  ],
  "name":[
  ],
  "displayName":"inazwisko",
  "urls":[
  ]
  }
 ]
}

Lub znacznie więcej:

{
 "entry":[
 {
  "id":"321",
  "hash":"00329e7ae0bec897c563611bf2fd7ad0",
  "requestHash":"00329e7ae0bec897c563611bf2fd7ad0",
  "profileUrl":"http:\/\/gravatar.com\/inazwisko",
  "preferredUsername":"inazwisko",
  "thumbnailUrl":"https:\/\/secure.gravatar.com\/avatar\/00329e7ae0bec897c563611bf2fd7ad0",
  "photos":[
    {
     "value":"https:\/\/secure.gravatar.com\/avatar\/00329e7ae0bec897c563611bf2fd7ad0",
     "type":"thumbnail"
    }
  ],
  "name":{
   "givenName":"Imię",
   "familyName":"Nazwisko",
   "formatted":"Imię Nazwisko"
  },
  "displayName":"tr0ll",
  "emails":[
   {
    "primary":"true",
    "value":"admin@tr0lls.pl"
   }
  ],
  "urls":[
    {
    "value":"https:\/\/forum.spamerskie.com",
    "title":"Farma Flejmów"
    }
   ]
  }
 ]
}

Jeśli otrzymaliśmy tylko ksywę / login – to jest bardzo prawdopodobne, że jest ona pierwszym członem adresu e-mail. Wystarczy teraz udać się na stronę weryfikacji poprzez adres e-mail i dodać do tego członu najczęściej używane domeny np. @gmail.com, @onet.pl, @wp.pl lub @protonmail.com. Jeśli formularz zwróci nam tę samą wartość skrótu, jak w adresie URL oraz identyczny obrazek – oznacza to, że poprawnie dopasowaliśmy do siebie elementy adresu e-mail. W przeciwnym wypadku otrzymamy inny hash oraz standardowy avatar serwisu.

Więcej informacji: Online avatar service Gravatar allows mass collection of user info

Kategorie K a t e g o r i e : Techblog

Tagi T a g i : , , , ,

Brak nowszych postów

Komentowanie tego wpisu jest zablokowane.