首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    谷歌广告越权获取Youtube私享视频图像分析

    本文通过谷歌广告中的视频制作功能,作者发现了Youtube私享(Private)视频图像的越权获取漏洞,利用该漏洞可以获取知晓视频ID号的任意Youtube私享(Private)视频的所有图像,从而可完整拼凑出整个视频图像信息...然后,我登录了我的第一个Youtube账户,对上传视频流程相关的功能进行了反复测试,之后,我发现了一个包含视频ID(video ID)HTTP请求,此时我的直观思路就是能否把该视频ID替换成另一个账户中上传的私享视频...这是一个典型的IDOR越权漏洞,可以通过该漏洞利用获取Youtube上任意私享(Private)视频的任意图像,当然最终也能完全拼凑出一个完整的视频来!...好吧,现在的漏洞利用只能对单独的图像进行获取,能否获取更多的东西呢?之后,我决定通过Python脚本来进行更多图像获取。假如目标视频的每秒传输帧数为24FPS,那么每个图像驻屏时间为33毫秒。...那么,这样我就能从0毫秒进行获取,通过33毫秒的间隔图像获取,就能获取到完整的目标视频了。我快速地编写了一个POC脚本,下载了目标视频中前3秒图像,经解码还原,与目标测试视频完全相同。

    1.9K30
    领券