Mac 19, 2014 更新: Youtube API v2 即将在 April 20, 2015 全面停止服务。
2012年尾, Youtube 推介了新的API, 一般上称之为 Youtube Data API v3, 也就是第三版本的 API。这个版本3不是为了彻底代替版本2, 因为少了很多功能(起码目前的趋势是这样)。那么, API 能有什么漏洞呢?
非公开影片的介绍:
除了私人影片设定外, Youtube提供了另外一种选择, 也就是非公开影片 (unlisted) 设定。
影片隐私权设定, 官方的介绍可以浏览 https://support.google.com/youtube/answer/157177?hl=zh-hant
非公开的影片, 会有一个半开的锁头图标在视频标题的左边。把滑鼠箭头指向那个锁头, 会出现 “這部影片是非公開影片,只有擁有影片連結的用戶才能觀看這部影片。” 这个说明。
如果你要分享的时候, 会有提醒出现。 "這是不公開的影片。分享前請三思。"
故事:
在去年的某一天, 我刚好在研究 Youtube API v3, 却无意中发现奇怪的现象。
要得到一个频道, 主要有两种方法:
1. search API (从cache server获取), 这个除了分页bug, 没有什么大碍。
2. channels API 获得 playlist ID, 然后再请求 playlistItems API 。其中一种 playlist ID 是属于uploads 类别 。
https://www.googleapis.com/youtube/v3/channels?part=snippet%2C+contentDetails&id=UCxJlPlbhLmM3pKrPsnidRuA&key=API_KEY
如图所示, playlist ID 是 UUxJlPlbhLmM3pKrPsnidRuA
然后用那个 playlist ID 请求视频的的资料:
https://www.googleapis.com/youtube/v3/playlistItems?part=snippet%2C+contentDetails%2C+status&maxResults=2&playlistId=UUxJlPlbhLmM3pKrPsnidRuA&key=API_KEY
正常的情况下, 总数量都是少过或等于网页真实可观看的视频数目 (扣除了国家IP地址不能看的因素):
但是奇怪的事情来临了,如果总数超过呢?
我运气不错, 刚好研究的频道, Youtube 官方频道 uploads playlistItems API , 排在前五个视频的, 都是非公开视频 (Youtube工程师团队在 test 着 live streaming, 当然不公开视频的地址)。太过明显了, 否则正常人是不可能发现的。
我把所有的 part parameter都实验, 发现那些视频的共同点只有一个, 就是 privacyStatus
Youtube 官方频道排在前五个视频的非公开视频:
http://www.youtube.com/watch?
其中一个例子:
第二个例子:
网络红人Ling BigYong 未公开的视频, 观看次数为47:
首相大人未曾公开的视频, 观看次数为17:
香港的 my little airport 绝对珍藏版:
谷歌工程师频道, 1 view, 全球只有一个家伙看过。
我当然是分秒必争写了一个python script 大量收集各大频道的珍藏品。如图所示,大量收集 Google Developers频道 的非公开视频和私人视频。
哦, 如上图所示, 私人视频也囊括其中了。 你可能会问, 私人视频又有什么用呢? 当然有, 除非是已移除的视频, 然而私人视频是可以通过缩略图 ( thumbnail) 来一窥究竟的。
缩略图:
通过增加缩略图页数来一窥究竟:
为了争取时间大量收集, 我过了一天才通知 Google, 被别人强先一步通知了。
修补了漏洞才通知你sorry. 也是情有可原的, 总不能说,
"Sorry, 你拿不到钱, 但是请别公开, 等我们修补好漏洞先"
No comments:
Post a Comment