elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Como proteger una cartera - billetera de Bitcoin


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  FQL Injection (?)
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 2 3 [4] 5 Ir Abajo Respuesta Imprimir
Autor Tema: FQL Injection (?)  (Leído 50,240 veces)
Littlehorse
All the world's a stage
Colaborador
***
Desconectado Desconectado

Mensajes: 2.714


Nie Dam Sie


Ver Perfil WWW
Re: FQL Injection (?)
« Respuesta #30 en: 16 Marzo 2009, 00:48 am »

Citar
¡Estás aproximándote al límite de la consola de test de API!

¡Frena o podrías golpear un bloque!


JAJAJJAJJAJJAJAJ
---------------------------

Si hablas del ejemplo del SDC te dijo que ahi estuvo toqueteando la privacidad que capaz fue por eso. Yo en cambio probe con otros e igual Empty String, casi seguro que es por lo de los permisos porque acabo de comprobar que fotos si tiene, y tambien comprobe con una cuenta que no tenia y lo mismo asi que, las dos son causa del empty string. Pero probando en cuentas aleatorias funciona perfecto y basta con ir cambiando el aid y ya.
« Última modificación: 16 Marzo 2009, 00:52 am por Littlehorse » En línea

An expert is a man who has made all the mistakes which can be made, in a very narrow field.
toxeek
The "Tricky" ..
Colaborador
***
Desconectado Desconectado

Mensajes: 1.637


Ver Perfil
Re: FQL Injection (?)
« Respuesta #31 en: 16 Marzo 2009, 00:52 am »

Que tal.

El "Bug" no es tal bug.
Solo podremos ver albumes los cuales la gente que lo/s creo, les hayan puesto permisos flexibles ( que otros que no sean amigo lo/s pueda/n ver ).

Mi novia ha tenido la amabilidad de escucharme ( no quiere saber nada sobre informatica, y menos viniendo de mi! ) y de crear delante mio un album en Facebook. Resulta que en dicho proceso, es al principio de la creacion cuando Facebook te pregunta quien queremos que vea dicho album.

Por ello, no es que se cree el album y haya que retocar despues los permisos ante un posible permiso flexible por defecto, no. Facebook te lo pregunta en un formulario a la hora de crearlo, y justo al principio.
Por ello podremos ver los albumes los cuales se crearon con "toda" consciencia de los permisos por parte de la persona creadora del album.

Si el album tiene permisos solo para amigos o privado (?), no podremos verlos. Si la persona no tiene albumes, nos saldra el mismo error.

Resumiendo no es un bug, es solo una manera de aprovechar la API y el fql para facilitar la busqueda de albumes abiertos.
Cabe recalcar que los filtros para los permisos en los albumes son muy minuciosos, y me ha sorprendido cuan agudos son.

Suerte.

  /**** MODIFIKO ****/
Bueno, no se nos pregunta por el filtrado JUSTO al principio, pero si en plena creacion.
« Última modificación: 16 Marzo 2009, 00:57 am por averno » En línea

"La envidia es una declaración de inferioridad"
Napoleón.
sirdarckcat
Aspirante a supervillano
Moderador
***
Desconectado Desconectado

Mensajes: 7.029


No estoy loco, soy mentalmente divergente


Ver Perfil WWW
Re: FQL Injection (?)
« Respuesta #32 en: 16 Marzo 2009, 01:06 am »

pero nadie ha dicho que esto es un bug.. es una vulnerabilidad, que es diferente xD
En línea

toxeek
The "Tricky" ..
Colaborador
***
Desconectado Desconectado

Mensajes: 1.637


Ver Perfil
Re: FQL Injection (?)
« Respuesta #33 en: 16 Marzo 2009, 01:07 am »


Que tal sdc?!

Bueeeeeeeeeenooo.. xD!!

Pero yo tampoco lo veo una vulnerabilidad!!

Saludos.
En línea

"La envidia es una declaración de inferioridad"
Napoleón.
Littlehorse
All the world's a stage
Colaborador
***
Desconectado Desconectado

Mensajes: 2.714


Nie Dam Sie


Ver Perfil WWW
Re: FQL Injection (?)
« Respuesta #34 en: 16 Marzo 2009, 01:13 am »

Que no es un fallo? o sea es simple, tu no tienes la opcion de ver los albums de las personas si no lo tienes agregado como amigos SALVO que el perfil sea publico y que las fotos tambien lo sean. Ahora, si el perfil NO es publico (o sea aparece en gris en vez de aparecer en azul para clickearlo) no hay opcion en ninguna parte para ver sus fotos, o sea que es un fallo esta claro XDD porque yo ahora mismo estoy viendo fotos de famosas en mi pais y te aseguro que no todas deberian ser visibles. ;D
En línea

An expert is a man who has made all the mistakes which can be made, in a very narrow field.
sirdarckcat
Aspirante a supervillano
Moderador
***
Desconectado Desconectado

Mensajes: 7.029


No estoy loco, soy mentalmente divergente


Ver Perfil WWW
Re: FQL Injection (?)
« Respuesta #35 en: 16 Marzo 2009, 01:24 am »

La vulnerabilidad es que Facebook por el diseño de su sitio, hace que las galerias publicas no sean visibles a los usuarios regulares. Lo que da la sensacion de que tener el perfil privado es suficiente.

Esto seria "casi" verdad, si no existieran estos metodos de obtencion del aid (porque si no existieran los tendrias que "bruteforcear"). Esta inconsistencia en su modelo, representa una amenaza a la privacidad de los usuarios, lo cual es un riesgo, y por consiguiente, es una vulnerabilidad. Porque explota el diseño de la aplicacion, afectando la confidencialidad del usuario.

Saludos!!
« Última modificación: 16 Marzo 2009, 01:26 am por sirdarckcat » En línea

Tryptophan

Desconectado Desconectado

Mensajes: 52


Ver Perfil
Re: FQL Injection (?)
« Respuesta #36 en: 16 Marzo 2009, 01:40 am »


Esta inconsistencia en su modelo, representa una amenaza a la privacidad de los usuarios, lo cual es un riesgo, y por consiguiente, es una vulnerabilidad. Porque explota el diseño de la aplicacion, afectando la confidencialidad del usuario.


Creo q mas claro imposible...Vos definis esos albumes para q tengan un determinado "scope" de usuarios y por esta vulnerabilidad, bien dicho por SDC, hace q el "scope" sea mas abarcativo q lo supuesto...
En línea

Novlucker
Ninja y
Colaborador
***
Desconectado Desconectado

Mensajes: 10.683

Yo que tu lo pienso dos veces


Ver Perfil
Re: FQL Injection (?)
« Respuesta #37 en: 16 Marzo 2009, 02:16 am »

AAAAAAA, claro, entones era por eso que en el perfil de un amigo aparecia como empty, entonces queda en que se pueden ver todas las imagenes de perfiles, siempre y cuando el album no requiera permisos extra  :P

Saludos
En línea

Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein
Littlehorse
All the world's a stage
Colaborador
***
Desconectado Desconectado

Mensajes: 2.714


Nie Dam Sie


Ver Perfil WWW
Re: FQL Injection (?)
« Respuesta #38 en: 16 Marzo 2009, 02:25 am »

No probe pero en teoria

"Mis redes y amigos": Deberia funcionar si perteneces a la misma red

"Amigos de mis amigos": Pues eso deberia funcionar si eres amigo de alguien que tenga.

Y los problematicos son solo amigos y personalizar
En línea

An expert is a man who has made all the mistakes which can be made, in a very narrow field.
N1K0
Visitante


Email
Re: FQL Injection (?)
« Respuesta #39 en: 16 Marzo 2009, 02:35 am »

AAAAAAA, claro, entones era por eso que en el perfil de un amigo aparecia como empty, entonces queda en que se pueden ver todas las imagenes de perfiles, siempre y cuando el album no requiera permisos extra  :P

Saludos
se, por ejemplo un album creado aplicando atributos como solo visible para amigos
alque no se puede acceder aun sabiendo su aid seria http://www.facebook.com/album.php?aid=2001791&id=1546388293

igualmente dentro de la tabla album hay una columna perteneciente a los atributos del album que se llama 'visible' ej:
Código
  1. SELECT link,visible FROM album WHERE owner=1546388293
para filtrar los resultados y obtener los albums sin atributo alguno osea accesible para todos seria
Código
  1. SELECT link FROM album WHERE owner=1546388293 AND visible='everyone'

bah eso pienso yo nose ...
no sigo probando xq me bloquaron las dos cuentas  :¬¬

Saludos
En línea

Páginas: 1 2 3 [4] 5 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Sql injection
Nivel Web
TheAnswer 1 3,727 Último mensaje 11 Octubre 2004, 08:07 am
por Jec
SQL Injection
Nivel Web
Adept 4 4,558 Último mensaje 7 Diciembre 2004, 22:56 pm
por PaK0
una de sql-injection!!
Nivel Web
krispin 2 4,320 Último mensaje 29 Enero 2005, 05:22 am
por krispin
CAST EXEC en sql injection(Automated Sql Injection)
Nivel Web
EvilGoblin 2 5,172 Último mensaje 11 Julio 2010, 22:25 pm
por EvilGoblin
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines