Páginas: 1 2 [3] 4 
|
 |
|
 Autor
|
Tema: FQL Injection (?) (Leído 9171 veces)
|
Littlehorse
 Desconectado
Mensajes: 1.469
Nie Dam Sie.
|
¡Estás aproximándote al límite de la consola de test de API!
¡Frena o podrías golpear un bloque! JAJAJJAJJAJJAJAJ --------------------------- Si hablas del ejemplo del SDC te dijo que ahi estuvo toqueteando la privacidad que capaz fue por eso. Yo en cambio probe con otros e igual Empty String, casi seguro que es por lo de los permisos porque acabo de comprobar que fotos si tiene, y tambien comprobe con una cuenta que no tenia y lo mismo asi que, las dos son causa del empty string. Pero probando en cuentas aleatorias funciona perfecto y basta con ir cambiando el aid y ya. |
|
|
|
« Última modificación: 16 Marzo 2009, 00:52 por Littlehorse »
|
En línea
|
|
|
|
averno
The "Tricky" ..
Colaborador
Desconectado
Mensajes: 1.290
|
Que tal.
El "Bug" no es tal bug.
Solo podremos ver albumes los cuales la gente que lo/s creo, les hayan puesto permisos flexibles ( que otros que no sean amigo lo/s pueda/n ver ).
Mi novia ha tenido la amabilidad de escucharme ( no quiere saber nada sobre informatica, y menos viniendo de mi! ) y de crear delante mio un album en Facebook. Resulta que en dicho proceso, es al principio de la creacion cuando Facebook te pregunta quien queremos que vea dicho album.
Por ello, no es que se cree el album y haya que retocar despues los permisos ante un posible permiso flexible por defecto, no. Facebook te lo pregunta en un formulario a la hora de crearlo, y justo al principio.
Por ello podremos ver los albumes los cuales se crearon con "toda" consciencia de los permisos por parte de la persona creadora del album.
Si el album tiene permisos solo para amigos o privado (?), no podremos verlos. Si la persona no tiene albumes, nos saldra el mismo error.
Resumiendo no es un bug, es solo una manera de aprovechar la API y el fql para facilitar la busqueda de albumes abiertos.
Cabe recalcar que los filtros para los permisos en los albumes son muy minuciosos, y me ha sorprendido cuan agudos son.
Suerte.
/**** MODIFIKO ****/
Bueno, no se nos pregunta por el filtrado JUSTO al principio, pero si en plena creacion.
|
|
|
|
« Última modificación: 16 Marzo 2009, 00:57 por averno »
|
En línea
|
"cuanto más entiendo a las personas, más quiero a mi perro."
Oscar Wilde.
|
|
|
|
sirdarckcat
|
pero nadie ha dicho que esto es un bug.. es una vulnerabilidad, que es diferente xD
|
|
|
|
|
En línea
|
|
|
|
averno
The "Tricky" ..
Colaborador
Desconectado
Mensajes: 1.290
|
Que tal sdc?!
Bueeeeeeeeeenooo.. xD!!
Pero yo tampoco lo veo una vulnerabilidad!!
Saludos.
|
|
|
|
|
En línea
|
"cuanto más entiendo a las personas, más quiero a mi perro."
Oscar Wilde.
|
|
|
|
|
|
sirdarckcat
|
La vulnerabilidad es que Facebook por el diseño de su sitio, hace que las galerias publicas no sean visibles a los usuarios regulares. Lo que da la sensacion de que tener el perfil privado es suficiente.
Esto seria "casi" verdad, si no existieran estos metodos de obtencion del aid (porque si no existieran los tendrias que "bruteforcear"). Esta inconsistencia en su modelo, representa una amenaza a la privacidad de los usuarios, lo cual es un riesgo, y por consiguiente, es una vulnerabilidad. Porque explota el diseño de la aplicacion, afectando la confidencialidad del usuario.
Saludos!!
|
|
|
|
« Última modificación: 16 Marzo 2009, 01:26 por sirdarckcat »
|
En línea
|
|
|
|
Tryptophan
Desconectado
Mensajes: 12
|
Esta inconsistencia en su modelo, representa una amenaza a la privacidad de los usuarios, lo cual es un riesgo, y por consiguiente, es una vulnerabilidad. Porque explota el diseño de la aplicacion, afectando la confidencialidad del usuario.
Creo q mas claro imposible...Vos definis esos albumes para q tengan un determinado "scope" de usuarios y por esta vulnerabilidad, bien dicho por SDC, hace q el "scope" sea mas abarcativo q lo supuesto... |
|
|
|
|
En línea
|
|
|
|
|
Novlucker
|
AAAAAAA, claro, entones era por eso que en el perfil de un amigo aparecia como empty, entonces queda en que se pueden ver todas las imagenes de perfiles, siempre y cuando el album no requiera permisos extra  Saludos |
|
|
|
|
En línea
|
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
"Hay dos cosas infinitas: el Universo y la estupidez humana. Y de la primera no estoy muy seguro." Albert Einstein |
|
|
Littlehorse
Desconectado
Mensajes: 1.469
Nie Dam Sie.
|
No probe pero en teoria
"Mis redes y amigos": Deberia funcionar si perteneces a la misma red
"Amigos de mis amigos": Pues eso deberia funcionar si eres amigo de alguien que tenga.
Y los problematicos son solo amigos y personalizar
|
|
|
|
|
En línea
|
|
|
|
N1K0
Visitante
|
AAAAAAA, claro, entones era por eso que en el perfil de un amigo aparecia como empty, entonces queda en que se pueden ver todas las imagenes de perfiles, siempre y cuando el album no requiera permisos extra Saludos se, por ejemplo un album creado aplicando atributos como solo visible para amigos alque no se puede acceder aun sabiendo su aid seria http://www.facebook.com/album.php?aid=2001791&id=1546388293igualmente dentro de la tabla album hay una columna perteneciente a los atributos del album que se llama 'visible' ej: SELECT link,visible FROM album WHERE owner=1546388293 para filtrar los resultados y obtener los albums sin atributo alguno osea accesible para todos seria SELECT link FROM album WHERE owner=1546388293 AND visible='everyone' bah eso pienso yo nose ... no sigo probando xq me bloquaron las dos cuentas  Saludos |
|
|
|
|
En línea
|
|
|
|
Littlehorse
Desconectado
Mensajes: 1.469
Nie Dam Sie.
|
en serio te las bloquearon? yo probe mil veces y no me tiro ningun bloqueo XD
|
|
|
|
|
En línea
|
|
|
|
N1K0
Visitante
|
No me bloquearon la cuenta entera pero me bloquearon el servicio de FQL osea quiero entrar en http://developers.facebook.com/tools.php y me aparece este cartel...  |
|
|
|
« Última modificación: 16 Marzo 2009, 02:58 por N1K0 »
|
En línea
|
|
|
|
|
sirdarckcat
|
Hiciste demasiadas consultas a la consola de facebook.. te las desbloquean en 24 horas o algo así.
|
|
|
|
|
En línea
|
|
|
|
EvilGoblin
 Conectado
Mensajes: 1.782
YO NO LA VOTE!
|
Se supone q en facebook las fotos tuyas las podes ver vos, tus amigos y los amigos de tus amigos como maximo
y no cualquiera que quiera.. para eso tendria q tener el link con el id del album (cosa q se lo tendrias q pasar vos)
|
|
|
|
|
En línea
|
Experimental Serial Lain [Linux User]
|
|
|
Littlehorse
Desconectado
Mensajes: 1.469
Nie Dam Sie.
|
No, por mas que le pases el link si los permisos no estan puestos en todos no va a poder ver el album o en su defecto debera cumplir los requisitos de los otros permisos (ser amigo de sus amigos etc)
|
|
|
|
« Última modificación: 16 Marzo 2009, 15:48 por Littlehorse »
|
En línea
|
|
|
|
|
Páginas: 1 2 [3] 4 
|
|
|
 |
,'mi novia anacleta',database(),@@version,'<?php)
