elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Arreglado, de nuevo, el registro del warzone (wargame) de EHN


  Mostrar Temas
Páginas: [1]
1  Seguridad Informática / Nivel Web / FQL Injection (?) en: 13 Marzo 2009, 06:20 am
Esto es solo algo de lo que se puede hacer con FQL, lo demas, es creatividad de ustedes  ;D

Bien, en primer instancia, que es FQL?. FQL es el facebook query language, un lenguaje de consulta proporcionado por dicha empresa para el desarrollo de aplicativos y otras yerbas  :P http://wiki.developers.facebook.com/index.php/FQL.

Vayamos al grano directamente....
Me encontraba boludeando en la parte de las tablas de FQL, exactamente en la de ALBUM y note que 2 atributos de la tabla eran LOCATION y LINK (la locacion del album) y haciendo la siguiente consulta en http://developers.facebook.com/tools.php.

SELECT location, link
FROM album
WHERE owner=xxxxxxxxxx

Siendo el owner un user id de CUALQUIER USUARIO, me encontre con el aid (album id) q se usa para la visualizacion de albumes . Asi se lo visualiza:

http://www.facebook.com/profile.php?id=MIID&v=photos&viewas=MIID#/album.php?aid=yyyyyyy&id=MIID

Ahora, q pasa si yo pusiera el id de CUALQUIER USUARIO, sabiendo q puedo obtener su aid con una consulta FQL?. Exactamente, podria ver su album sin siquiera ser su amigo...

Pongamos un ejemplo:

Me gustaria ver el album de pepito, q hago entonces?. En primer lugar lo busco, saco su id (en el link de "ver amigos" aparece...), hago la consulta FQL para sacar su aid. Despues pongo en la URL

http://www.facebook.com/profile.php?id=IDPEPITO&v=photos&viewas=MIID#/album.php?aid=yyyyyyy&id=IDPEPITO

Y voila...

Cualquier critica, correcion, etc, ya saben donde encontrarme.
Saludos
Tryptophan
Páginas: [1]
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines