Páginas: [1] 2 3 4 
|
 |
|
 Autor
|
Tema: FQL Injection (?) (Leído 11332 veces)
|
Tryptophan
 Desconectado
Mensajes: 12
|
Esto es solo algo de lo que se puede hacer con FQL, lo demas, es creatividad de ustedes  Bien, en primer instancia, que es FQL?. FQL es el facebook query language, un lenguaje de consulta proporcionado por dicha empresa para el desarrollo de aplicativos y otras yerbas  http://wiki.developers.facebook.com/index.php/FQL. Vayamos al grano directamente.... Me encontraba boludeando en la parte de las tablas de FQL, exactamente en la de ALBUM y note que 2 atributos de la tabla eran LOCATION y LINK (la locacion del album) y haciendo la siguiente consulta en http://developers.facebook.com/tools.php. SELECT location, link FROM album WHERE owner=xxxxxxxxxx Siendo el owner un user id de CUALQUIER USUARIO, me encontre con el aid (album id) q se usa para la visualizacion de albumes . Asi se lo visualiza: http://www.facebook.com/profile.php?id=MIID&v=photos&viewas=MIID#/album.php?aid=yyyyyyy&id=MIIDAhora, q pasa si yo pusiera el id de CUALQUIER USUARIO, sabiendo q puedo obtener su aid con una consulta FQL?. Exactamente, podria ver su album sin siquiera ser su amigo... Pongamos un ejemplo: Me gustaria ver el album de pepito, q hago entonces?. En primer lugar lo busco, saco su id (en el link de "ver amigos" aparece...), hago la consulta FQL para sacar su aid. Despues pongo en la URL http://www.facebook.com/profile.php?id=IDPEPITO&v=photos&viewas=MIID#/album.php?aid=yyyyyyy&id=IDPEPITOY voila... Cualquier critica, correcion, etc, ya saben donde encontrarme. Saludos Tryptophan |
|
|
|
|
En línea
|
|
|
|
|
sirdarckcat
|
Tienes razon!! SELECT src FROM photo WHERE aid IN (SELECT aid FROM album WHERE owner IN (SELECT uid FROM user WHERE name="Eduardo Vela")) Muy buen descubrimiento! Aunque no seria "injection", mas bien es que como que se les olvido que la relacion aid<->uid no deberia ser indexable.. En cualquier caso, muy buen descubrimiento, hacer un "PoC" deberia ser relativamente sencillo.. ya que Facebook da la API para hacerlo, hacer un buscador de personas que te muestre sus fotos estaria cool! Si quieres reportar la vulnerabilidad (que de todas formas ya la hiciste publica), manda un mail a secure@facebook.com.. En cualquier caso, buen descubrimiento! si necesitas ayuda dinos. Saludos!! |
|
|
|
« Última modificación: 13 Marzo 2009, 08:43 por sirdarckcat »
|
En línea
|
|
|
|
Tryptophan
Desconectado
Mensajes: 12
|
claro....pasa q a las 3 de la mañana no me daba el cerebro para ver q nombre ponerle, jajaja . Saludos sirdarkcat!! |
|
|
|
|
En línea
|
|
|
|
Anon
Estudiante y
Colaborador
Desconectado
Mensajes: 1.918
Anonymous & Paranoid
|
Esta muy interesante, ya lo probe y esta bien pero el problema que ocupas el nombre o el uid, voy a empezar a espiar a los amigos de mis amigos.
Saludos.
|
|
|
|
|
En línea
|
|
|
|
|
|
Dacan
Desconectado
Mensajes: 174
|
Lo probe si funciona.. me pondre a leer sobre eso de FQL esta interezante. Saludos, Dacan  |
|
|
|
|
En línea
|
|
|
|
averno
The "Tricky" ..
Colaborador
Desconectado
Mensajes: 1.419
|
Que tal.
Parece que ya esta corregido.
Saludos.
|
|
|
|
|
En línea
|
"cuanto más entiendo a las personas, más quiero a mi perro."
Oscar Wilde.
|
|
|
|
Novlucker
|
No, si funciona, lo acabo de probar Saludos |
|
|
|
|
En línea
|
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
http://twitter.com/novlucker
"Hay dos cosas infinitas: el Universo y la estupidez humana. Y de la primera no estoy muy seguro." Albert Einstein |
|
|
Littlehorse
Desconectado
Mensajes: 1.957
Nie Dam Sie
|
A mi tampoco me funciona. que raro  a ver de nuevo. |
|
|
|
|
En línea
|
An expert is a man who has made all the mistakes that can be made in a very narrow field
|
|
|
averno
The "Tricky" ..
Colaborador
Desconectado
Mensajes: 1.419
|
Que tal. Haciendolo todo ( creo que correctamente! ), es esto lo que recibo:  Bueno, Saludos. |
|
|
|
|
En línea
|
"cuanto más entiendo a las personas, más quiero a mi perro."
Oscar Wilde.
|
|
|
Littlehorse
Desconectado
Mensajes: 1.957
Nie Dam Sie
|
Claro, yo llego a lo mismo pero en Español XD
|
|
|
|
|
En línea
|
An expert is a man who has made all the mistakes that can be made in a very narrow field
|
|
|
Krackwar ™
Desconectado
Mensajes: 100
|
Lo abran arreglado.
|
|
|
|
|
En línea
|
WHK es mas u17r4m4573r31337 que yo  El error mas grande de el mundo es decir que el ser humano es inteligente. Facismo , antifacismo , etc.. la misma mie rda .. Soy el-> http://tinyurl.com/fantasma-de-krackwarmov ecx,1000
Etiqueta:
invoke printf,"No Copiare en clases"
loop Etiq |
|
|
Littlehorse
Desconectado
Mensajes: 1.957
Nie Dam Sie
|
No, si funciona, lo acabo de probar Saludos |
|
|
|
|
En línea
|
An expert is a man who has made all the mistakes that can be made in a very narrow field
|
|
|
|
|
averno
The "Tricky" ..
Colaborador
Desconectado
Mensajes: 1.419
|
Que tal.
A ver.. yo uso el Method photos.getAlbums.
Tras ello, en el callback pongo lo citado.
Pero este "bug" deberia de servir para aquellas personas que no son tus amigos, y tienen restricciones puestas para ver su album/perfil.
Mucho me temo que se este probando con personas con el perfil abierto.
Como digo, yo haciendolo asi recibo esa pagina de error..
Saludos.
|
|
|
|
|
En línea
|
"cuanto más entiendo a las personas, más quiero a mi perro."
Oscar Wilde.
|
|
|
|
Páginas: [1] 2 3 4 
|
|
|
 |
