 Autor
|
Tema: FQL Injection (?) (Leído 48,780 veces)
|
Littlehorse
All the world's a stage
Colaborador
 Desconectado
Mensajes: 2.714
Nie Dam Sie
|
¡Estás aproximándote al límite de la consola de test de API!
¡Frena o podrías golpear un bloque! JAJAJJAJJAJJAJAJ --------------------------- Si hablas del ejemplo del SDC te dijo que ahi estuvo toqueteando la privacidad que capaz fue por eso. Yo en cambio probe con otros e igual Empty String, casi seguro que es por lo de los permisos porque acabo de comprobar que fotos si tiene, y tambien comprobe con una cuenta que no tenia y lo mismo asi que, las dos son causa del empty string. Pero probando en cuentas aleatorias funciona perfecto y basta con ir cambiando el aid y ya.
|
|
|
|
« Última modificación: 16 Marzo 2009, 00:52 am por Littlehorse »
|
En línea
|
An expert is a man who has made all the mistakes which can be made, in a very narrow field.
|
|
|
|
toxeek
|
Que tal.
El "Bug" no es tal bug.
Solo podremos ver albumes los cuales la gente que lo/s creo, les hayan puesto permisos flexibles ( que otros que no sean amigo lo/s pueda/n ver ).
Mi novia ha tenido la amabilidad de escucharme ( no quiere saber nada sobre informatica, y menos viniendo de mi! ) y de crear delante mio un album en Facebook. Resulta que en dicho proceso, es al principio de la creacion cuando Facebook te pregunta quien queremos que vea dicho album.
Por ello, no es que se cree el album y haya que retocar despues los permisos ante un posible permiso flexible por defecto, no. Facebook te lo pregunta en un formulario a la hora de crearlo, y justo al principio.
Por ello podremos ver los albumes los cuales se crearon con "toda" consciencia de los permisos por parte de la persona creadora del album.
Si el album tiene permisos solo para amigos o privado (?), no podremos verlos. Si la persona no tiene albumes, nos saldra el mismo error.
Resumiendo no es un bug, es solo una manera de aprovechar la API y el fql para facilitar la busqueda de albumes abiertos.
Cabe recalcar que los filtros para los permisos en los albumes son muy minuciosos, y me ha sorprendido cuan agudos son.
Suerte.
/**** MODIFIKO ****/
Bueno, no se nos pregunta por el filtrado JUSTO al principio, pero si en plena creacion.
|
|
|
|
« Última modificación: 16 Marzo 2009, 00:57 am por averno »
|
En línea
|
"La envidia es una declaración de inferioridad"
Napoleón.
|
|
|
sirdarckcat
Aspirante a supervillano
Moderador
Desconectado
Mensajes: 7.029
No estoy loco, soy mentalmente divergente
|
pero nadie ha dicho que esto es un bug.. es una vulnerabilidad, que es diferente xD
|
|
|
|
|
En línea
|
|
|
|
|
toxeek
|
Que tal sdc?!
Bueeeeeeeeeenooo.. xD!!
Pero yo tampoco lo veo una vulnerabilidad!!
Saludos.
|
|
|
|
|
En línea
|
"La envidia es una declaración de inferioridad"
Napoleón.
|
|
|
Littlehorse
All the world's a stage
Colaborador
Desconectado
Mensajes: 2.714
Nie Dam Sie
|
Que no es un fallo? o sea es simple, tu no tienes la opcion de ver los albums de las personas si no lo tienes agregado como amigos SALVO que el perfil sea publico y que las fotos tambien lo sean. Ahora, si el perfil NO es publico (o sea aparece en gris en vez de aparecer en azul para clickearlo) no hay opcion en ninguna parte para ver sus fotos, o sea que es un fallo esta claro XDD porque yo ahora mismo estoy viendo fotos de famosas en mi pais y te aseguro que no todas deberian ser visibles.  |
|
|
|
|
En línea
|
An expert is a man who has made all the mistakes which can be made, in a very narrow field.
|
|
|
sirdarckcat
Aspirante a supervillano
Moderador
Desconectado
Mensajes: 7.029
No estoy loco, soy mentalmente divergente
|
La vulnerabilidad es que Facebook por el diseño de su sitio, hace que las galerias publicas no sean visibles a los usuarios regulares. Lo que da la sensacion de que tener el perfil privado es suficiente.
Esto seria "casi" verdad, si no existieran estos metodos de obtencion del aid (porque si no existieran los tendrias que "bruteforcear"). Esta inconsistencia en su modelo, representa una amenaza a la privacidad de los usuarios, lo cual es un riesgo, y por consiguiente, es una vulnerabilidad. Porque explota el diseño de la aplicacion, afectando la confidencialidad del usuario.
Saludos!!
|
|
|
|
« Última modificación: 16 Marzo 2009, 01:26 am por sirdarckcat »
|
En línea
|
|
|
|
Tryptophan
Desconectado
Mensajes: 52
|
Esta inconsistencia en su modelo, representa una amenaza a la privacidad de los usuarios, lo cual es un riesgo, y por consiguiente, es una vulnerabilidad. Porque explota el diseño de la aplicacion, afectando la confidencialidad del usuario.
Creo q mas claro imposible...Vos definis esos albumes para q tengan un determinado "scope" de usuarios y por esta vulnerabilidad, bien dicho por SDC, hace q el "scope" sea mas abarcativo q lo supuesto...
|
|
|
|
|
En línea
|
|
|
|
Novlucker
Ninja y
Colaborador
Desconectado
Mensajes: 10.683
Yo que tu lo pienso dos veces
|
AAAAAAA, claro, entones era por eso que en el perfil de un amigo aparecia como empty, entonces queda en que se pueden ver todas las imagenes de perfiles, siempre y cuando el album no requiera permisos extra  Saludos |
|
|
|
|
En línea
|
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
"Hay dos cosas infinitas: el Universo y la estupidez humana. Y de la primera no estoy muy seguro." Albert Einstein |
|
|
Littlehorse
All the world's a stage
Colaborador
Desconectado
Mensajes: 2.714
Nie Dam Sie
|
No probe pero en teoria
"Mis redes y amigos": Deberia funcionar si perteneces a la misma red
"Amigos de mis amigos": Pues eso deberia funcionar si eres amigo de alguien que tenga.
Y los problematicos son solo amigos y personalizar
|
|
|
|
|
En línea
|
An expert is a man who has made all the mistakes which can be made, in a very narrow field.
|
|
|
N1K0
Visitante
|
AAAAAAA, claro, entones era por eso que en el perfil de un amigo aparecia como empty, entonces queda en que se pueden ver todas las imagenes de perfiles, siempre y cuando el album no requiera permisos extra Saludos se, por ejemplo un album creado aplicando atributos como solo visible para amigos alque no se puede acceder aun sabiendo su aid seria http://www.facebook.com/album.php?aid=2001791&id=1546388293igualmente dentro de la tabla album hay una columna perteneciente a los atributos del album que se llama 'visible' ej: SELECT link,visible FROM album WHERE owner=1546388293
para filtrar los resultados y obtener los albums sin atributo alguno osea accesible para todos seria SELECT link FROM album WHERE owner=1546388293 AND visible='everyone'
bah eso pienso yo nose ... no sigo probando xq me bloquaron las dos cuentas  Saludos
|
|
|
|
|
En línea
|
|
|
|
|
 |
