 Autor
|
Tema: FQL Injection (?) (Leído 22,361 veces)
|
Tryptophan
 Desconectado
Mensajes: 37
|
Esto es solo algo de lo que se puede hacer con FQL, lo demas, es creatividad de ustedes  Bien, en primer instancia, que es FQL?. FQL es el facebook query language, un lenguaje de consulta proporcionado por dicha empresa para el desarrollo de aplicativos y otras yerbas  http://wiki.developers.facebook.com/index.php/FQL. Vayamos al grano directamente.... Me encontraba boludeando en la parte de las tablas de FQL, exactamente en la de ALBUM y note que 2 atributos de la tabla eran LOCATION y LINK (la locacion del album) y haciendo la siguiente consulta en http://developers.facebook.com/tools.php. SELECT location, link FROM album WHERE owner=xxxxxxxxxx Siendo el owner un user id de CUALQUIER USUARIO, me encontre con el aid (album id) q se usa para la visualizacion de albumes . Asi se lo visualiza: http://www.facebook.com/profile.php?id=MIID&v=photos&viewas=MIID#/album.php?aid=yyyyyyy&id=MIIDAhora, q pasa si yo pusiera el id de CUALQUIER USUARIO, sabiendo q puedo obtener su aid con una consulta FQL?. Exactamente, podria ver su album sin siquiera ser su amigo... Pongamos un ejemplo: Me gustaria ver el album de pepito, q hago entonces?. En primer lugar lo busco, saco su id (en el link de "ver amigos" aparece...), hago la consulta FQL para sacar su aid. Despues pongo en la URL http://www.facebook.com/profile.php?id=IDPEPITO&v=photos&viewas=MIID#/album.php?aid=yyyyyyy&id=IDPEPITOY voila... Cualquier critica, correcion, etc, ya saben donde encontrarme. Saludos Tryptophan |
|
|
|
|
En línea
|
|
|
|
sirdarckcat
Troll Buena Onda y
Moderador
Desconectado
Mensajes: 6.945
Lavando Platos
|
Tienes razon!! SELECT src FROM photo WHERE aid IN (SELECT aid FROM album WHERE owner IN (SELECT uid FROM USER WHERE name="Eduardo Vela")) Muy buen descubrimiento! Aunque no seria "injection", mas bien es que como que se les olvido que la relacion aid<->uid no deberia ser indexable.. En cualquier caso, muy buen descubrimiento, hacer un "PoC" deberia ser relativamente sencillo.. ya que Facebook da la API para hacerlo, hacer un buscador de personas que te muestre sus fotos estaria cool! Si quieres reportar la vulnerabilidad (que de todas formas ya la hiciste publica), manda un mail a secure@facebook.com.. En cualquier caso, buen descubrimiento! si necesitas ayuda dinos. Saludos!! |
|
|
|
« Última modificación: 13 Marzo 2009, 08:43 por sirdarckcat »
|
En línea
|
|
|
|
Tryptophan
Desconectado
Mensajes: 37
|
claro....pasa q a las 3 de la mañana no me daba el cerebro para ver q nombre ponerle, jajaja . Saludos sirdarkcat!! |
|
|
|
|
En línea
|
|
|
|
AlbertoBSD
Estudiante y
Colaborador
Desconectado
Mensajes: 1.955
Anonymous & Paranoid
|
Esta muy interesante, ya lo probe y esta bien pero el problema que ocupas el nombre o el uid, voy a empezar a espiar a los amigos de mis amigos.
Saludos.
|
|
|
|
|
En línea
|
|
|
|
Novlucker
Ninja y
Ex-Staff
Desconectado
Mensajes: 10.226
Yo que tu lo pienso dos veces
|
Interesante, no tenía idea de la existencia de FQL, ojalá se demoren en solucionarlo porque necesito ver unas fotos de alguien que no me ha aceptado   Edito: En efecto, puedo ver las fotos de todos  Saludos |
|
|
|
« Última modificación: 14 Marzo 2009, 02:45 por Novlucker »
|
En línea
|
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
http://twitter.com/novlucker
"Hay dos cosas infinitas: el Universo y la estupidez humana. Y de la primera no estoy muy seguro." Albert Einstein |
|
|
Dacan
Desconectado
Mensajes: 191
|
Lo probe si funciona.. me pondre a leer sobre eso de FQL esta interezante. Saludos, Dacan  |
|
|
|
|
En línea
|
 Follow me: @Dangonzalez94 |
|
|
|
TRICKY
|
Que tal.
Parece que ya esta corregido.
Saludos.
|
|
|
|
|
En línea
|
"La envidia es una declaración de inferioridad"
Napoleón.
|
|
|
Novlucker
Ninja y
Ex-Staff
Desconectado
Mensajes: 10.226
Yo que tu lo pienso dos veces
|
No, si funciona, lo acabo de probar Saludos |
|
|
|
|
En línea
|
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
http://twitter.com/novlucker
"Hay dos cosas infinitas: el Universo y la estupidez humana. Y de la primera no estoy muy seguro." Albert Einstein |
|
|
|
|
|
TRICKY
|
Que tal. Haciendolo todo ( creo que correctamente! ), es esto lo que recibo:  Bueno, Saludos.
|
|
|
|
|
En línea
|
"La envidia es una declaración de inferioridad"
Napoleón.
|
|
|
|
|
Krackwar ™
Desconectado
Mensajes: 100
|
Lo abran arreglado.
|
|
|
|
|
En línea
|
WHK es mas u17r4m4573r31337 que yo  El error mas grande de el mundo es decir que el ser humano es inteligente. Facismo , antifacismo , etc.. la misma mie rda .. Soy el-> http://tinyurl.com/fantasma-de-krackwarmov ecx,1000
Etiqueta:
invoke printf,"No Copiare en clases"
loop Etiq |
|
|
|
|
|
|
|
TRICKY
|
Que tal.
A ver.. yo uso el Method photos.getAlbums.
Tras ello, en el callback pongo lo citado.
Pero este "bug" deberia de servir para aquellas personas que no son tus amigos, y tienen restricciones puestas para ver su album/perfil.
Mucho me temo que se este probando con personas con el perfil abierto.
Como digo, yo haciendolo asi recibo esa pagina de error..
Saludos.
|
|
|
|
|
En línea
|
"La envidia es una declaración de inferioridad"
Napoleón.
|
|
|
|
 |
a ver de nuevo.
