Adresy z Gravatar

nfsec.pl 2 lat temu

S

erwis Gravatar umożliwia ustawienie swojego awatara, który będzie miał charakter globalny – ang. Globally Recognized Avatar. Serwis został stworzony przez Toma Perstona-Wernera, a od 2007 roku jest własnością firmy Automattic, która zintegrowała ją z platformą blogową WordPress. Na Gavatarze użytkownicy mogą zarejestrować konto/a na podstawie adresu e-mail i przesłać cyfrowy awatar, który będzie powiązany z tym kontem. Wtyczki Gravatar są dostępne dla większości popularnego systemu do blokowania; kiedy użytkownik umieszcza komentarz na takim blogu, który wymaga podania adresu e-mail – oprogramowanie do blogowania sprawdza, czy ten adres e-mail ma powiązany awatar w serwisie Gravatar. jeżeli tak, to obrazek umieszczony w serwisie Gravatar jest wyświetlany wraz z komentarzem użytkownika.

Adres takiego obrazka możemy skopiować z komentarzy danego wpisu na platformie WordPress. Posiada on schemat:

https://secure.gravatar.com/avatar/00329e7ae0bec897c563611bf2fd7ad0

Ostatni człon to hash MD5 adresu e-mail, który jest tworzony wedle określonych kroków: 1) wycięcie początkowych i końcowych białych znaków z adresu e-mail, 2) zamiana wszystkich znaków na małe, 3) wykonanie funkcji skrótu MD5 na ostatecznej wersji ciągu znaków. Oczywiście nie odwrócimy funkcji skrótu. A z kolei, aby gwałtownie odgadnąć kryjącą się za nią wartość byśmy musieli mieć wystarczającą dużą kolekcję adresów e-mail (z wielu wycieków) i ich wartości hash. Jednak możemy zwiększyć swoje szansę na odgadnięcie adresu e-mail użytkownika Gravatara poprzez kilka żądań HTTP(s). Po pierwsze znając wartość hash możemy wejść na profil takiego użytkownika zmieniając adres na:

https://en.gravatar.com/00329e7ae0bec897c563611bf2fd7ad0.json

W zależności od ilości danych jakie użytkownik wypełnił na portalu możemy otrzymać jedynie jego ksywę / login:

{ "entry":[ { "id":"321", "hash":"00329e7ae0bec897c563611bf2fd7ad0", "requestHash":"00329e7ae0bec897c563611bf2fd7ad0", "profileUrl":"http:\/\/gravatar.com\/inazwisko", "preferredUsername":"inawisko", "thumbnailUrl":"https:\/\/secure.gravatar.com\/avatar\/00329e7ae0bec897c563611bf2fd7ad0", "photos":[ { "value":"https:\/\/secure.gravatar.com\/avatar\/00329e7ae0bec897c563611bf2fd7ad0", "type":"thumbnail" } ], "name":[ ], "displayName":"inazwisko", "urls":[ ] } ] }

Lub znacznie więcej:

{ "entry":[ { "id":"321", "hash":"00329e7ae0bec897c563611bf2fd7ad0", "requestHash":"00329e7ae0bec897c563611bf2fd7ad0", "profileUrl":"http:\/\/gravatar.com\/inazwisko", "preferredUsername":"inazwisko", "thumbnailUrl":"https:\/\/secure.gravatar.com\/avatar\/00329e7ae0bec897c563611bf2fd7ad0", "photos":[ { "value":"https:\/\/secure.gravatar.com\/avatar\/00329e7ae0bec897c563611bf2fd7ad0", "type":"thumbnail" } ], "name":{ "givenName":"Imię", "familyName":"Nazwisko", "formatted":"Imię Nazwisko" }, "displayName":"tr0ll", "emails":[ { "primary":"true", "value":"admin@tr0lls.pl" } ], "urls":[ { "value":"https:\/\/forum.spamerskie.com", "title":"Farma Flejmów" } ] } ] }

Jeśli otrzymaliśmy tylko ksywę / login – to jest bardzo prawdopodobne, iż jest ona pierwszym członem adresu e-mail. Wystarczy teraz udać się na stronę weryfikacji poprzez adres e-mail i dodać do tego członu najczęściej używane domeny np. @gmail.com, @onet.pl, @wp.pl lub @protonmail.com. jeżeli formularz zwróci nam tę samą wartość skrótu, jak w adresie URL oraz identyczny obrazek – oznacza to, iż poprawnie dopasowaliśmy do siebie elementy adresu e-mail. W przeciwnym wypadku otrzymamy inny hash oraz standardowy avatar serwisu.

Więcej informacji: Online avatar service Gravatar allows mass collection of user info

Idź do oryginalnego materiału