elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado: Sigue las noticias más importantes de elhacker.net en ttwitter!


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Bugs y Exploits
| | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | |-+  FQL Injection (?)
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 3 4 5 Ir Abajo Respuesta Imprimir
Autor Tema: FQL Injection (?)  (Leído 38,758 veces)
Tryptophan

Desconectado Desconectado

Mensajes: 47



Ver Perfil
FQL Injection (?)
« en: 13 Marzo 2009, 06:20 »

Esto es solo algo de lo que se puede hacer con FQL, lo demas, es creatividad de ustedes  ;D

Bien, en primer instancia, que es FQL?. FQL es el facebook query language, un lenguaje de consulta proporcionado por dicha empresa para el desarrollo de aplicativos y otras yerbas  :P http://wiki.developers.facebook.com/index.php/FQL.

Vayamos al grano directamente....
Me encontraba boludeando en la parte de las tablas de FQL, exactamente en la de ALBUM y note que 2 atributos de la tabla eran LOCATION y LINK (la locacion del album) y haciendo la siguiente consulta en http://developers.facebook.com/tools.php.

SELECT location, link
FROM album
WHERE owner=xxxxxxxxxx

Siendo el owner un user id de CUALQUIER USUARIO, me encontre con el aid (album id) q se usa para la visualizacion de albumes . Asi se lo visualiza:

http://www.facebook.com/profile.php?id=MIID&v=photos&viewas=MIID#/album.php?aid=yyyyyyy&id=MIID

Ahora, q pasa si yo pusiera el id de CUALQUIER USUARIO, sabiendo q puedo obtener su aid con una consulta FQL?. Exactamente, podria ver su album sin siquiera ser su amigo...

Pongamos un ejemplo:

Me gustaria ver el album de pepito, q hago entonces?. En primer lugar lo busco, saco su id (en el link de "ver amigos" aparece...), hago la consulta FQL para sacar su aid. Despues pongo en la URL

http://www.facebook.com/profile.php?id=IDPEPITO&v=photos&viewas=MIID#/album.php?aid=yyyyyyy&id=IDPEPITO

Y voila...

Cualquier critica, correcion, etc, ya saben donde encontrarme.
Saludos
Tryptophan
En línea

sirdarckcat
Aspirante a supervillano
Moderador Global
***
Desconectado Desconectado

Mensajes: 7.013


No estoy loco, soy mentalmente divergente


Ver Perfil WWW
Re: FQL Injection (?)
« Respuesta #1 en: 13 Marzo 2009, 08:38 »

Tienes razon!!

Código
  1. SELECT src FROM photo WHERE aid IN (SELECT aid FROM album WHERE owner IN (SELECT uid FROM USER WHERE name="Eduardo Vela"))

Muy buen descubrimiento! Aunque no seria "injection", mas bien es que como que se les olvido que la relacion aid<->uid no deberia ser indexable..

En cualquier caso, muy buen descubrimiento, hacer un "PoC" deberia ser relativamente sencillo.. ya que Facebook da la API para hacerlo, hacer un buscador de personas que te muestre sus fotos estaria cool!

Si quieres reportar la vulnerabilidad (que de todas formas ya la hiciste publica), manda un mail a secure@facebook.com..

En cualquier caso, buen descubrimiento! si necesitas ayuda dinos.

Saludos!!
« Última modificación: 13 Marzo 2009, 08:43 por sirdarckcat » En línea

Tryptophan

Desconectado Desconectado

Mensajes: 47



Ver Perfil
Re: FQL Injection (?)
« Respuesta #2 en: 13 Marzo 2009, 13:35 »

claro....pasa q a las 3 de la mañana no me daba el cerebro para ver q nombre ponerle, jajaja  :P.
Saludos sirdarkcat!!
En línea

AlbertoBSD
💻🌎🌍🌏🌐 NWO📱
Colaborador
***
Desconectado Desconectado

Mensajes: 2.998


Yo soy malo, y eso es bueno.


Ver Perfil WWW
Re: FQL Injection (?)
« Respuesta #3 en: 13 Marzo 2009, 17:50 »

Esta muy interesante, ya lo probe y esta bien pero el problema que ocupas el nombre o el uid, voy a empezar a espiar a los amigos de mis amigos.

Saludos.
En línea

Novlucker
Ninja y
Moderador Global
***
Desconectado Desconectado

Mensajes: 10.692

Yo que tu lo pienso dos veces


Ver Perfil
Re: FQL Injection (?)
« Respuesta #4 en: 13 Marzo 2009, 17:54 »

Interesante, no tenía idea de la existencia de FQL, ojalá se demoren en solucionarlo porque necesito ver unas fotos de alguien que no me ha aceptado  :silbar:   :xD

Edito: En efecto, puedo ver las fotos de todos  :-X
Saludos
« Última modificación: 14 Marzo 2009, 02:45 por Novlucker » En línea

Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein
Dacan

Desconectado Desconectado

Mensajes: 234



Ver Perfil WWW
Re: FQL Injection (?)
« Respuesta #5 en: 14 Marzo 2009, 23:56 »

Lo probe si funciona.. me pondre a leer sobre eso de FQL esta interezante.

Saludos, Dacan   :D
En línea

Calculadora de Fee de Paypal
http://pfeecalculator.com/

Ejemplo de uso: $5



 
toxeek
The "Tricky" ..
Colaborador
***
Desconectado Desconectado

Mensajes: 1.636


Ver Perfil
Re: FQL Injection (?)
« Respuesta #6 en: 15 Marzo 2009, 17:46 »


Que tal.

Parece que ya esta corregido.


Saludos.
En línea

"La envidia es una declaración de inferioridad"
Napoleón.
Novlucker
Ninja y
Moderador Global
***
Desconectado Desconectado

Mensajes: 10.692

Yo que tu lo pienso dos veces


Ver Perfil
Re: FQL Injection (?)
« Respuesta #7 en: 15 Marzo 2009, 22:22 »

No, si funciona, lo acabo de probar  ;D

Saludos
En línea

Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein
Littlehorse
All the world's a stage
Colaborador
***
Desconectado Desconectado

Mensajes: 2.714


Nie Dam Sie


Ver Perfil WWW
Re: FQL Injection (?)
« Respuesta #8 en: 15 Marzo 2009, 22:43 »

A mi tampoco me funciona. que raro  :-\ a ver de nuevo.
En línea

An expert is a man who has made all the mistakes which can be made, in a very narrow field.
toxeek
The "Tricky" ..
Colaborador
***
Desconectado Desconectado

Mensajes: 1.636


Ver Perfil
Re: FQL Injection (?)
« Respuesta #9 en: 15 Marzo 2009, 22:52 »


Que tal.

Haciendolo todo ( creo que correctamente! ), es esto lo que recibo:




Bueno, Saludos.
En línea

"La envidia es una declaración de inferioridad"
Napoleón.
Páginas: [1] 2 3 4 5 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
SQL Injection en PHP
Hacking Básico
Akagba 1 913 Último mensaje 15 Octubre 2004, 09:16
por Ambolius
SQL Injection
Nivel Web
Adept 4 2,984 Último mensaje 7 Diciembre 2004, 22:56
por PaK0
Jpg Injection??
Análisis y Diseño de Malware
PeaceMaker 7 2,005 Último mensaje 14 Diciembre 2004, 08:56
por Man-In-the-Middle
DLL Injection
Bugs y Exploits
Crack_X 4 1,629 Último mensaje 8 Enero 2005, 07:55
por Crack_X
CAST EXEC en sql injection(Automated Sql Injection)
Nivel Web
EvilGoblin 2 3,423 Último mensaje 11 Julio 2010, 22:25
por EvilGoblin
Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines