FQL Injection (?)

Iniciado por Tryptophan, 13 Marzo 2009, 06:20 AM

0 Miembros y 2 Visitantes están viendo este tema.

Littlehorse

#30
Citar¡Estás aproximándote al límite de la consola de test de API!

¡Frena o podrías golpear un bloque!


JAJAJJAJJAJJAJAJ
---------------------------

Si hablas del ejemplo del SDC te dijo que ahi estuvo toqueteando la privacidad que capaz fue por eso. Yo en cambio probe con otros e igual Empty String, casi seguro que es por lo de los permisos porque acabo de comprobar que fotos si tiene, y tambien comprobe con una cuenta que no tenia y lo mismo asi que, las dos son causa del empty string. Pero probando en cuentas aleatorias funciona perfecto y basta con ir cambiando el aid y ya.
An expert is a man who has made all the mistakes which can be made, in a very narrow field.

toxeek

#31
Que tal.

El "Bug" no es tal bug.
Solo podremos ver albumes los cuales la gente que lo/s creo, les hayan puesto permisos flexibles ( que otros que no sean amigo lo/s pueda/n ver ).

Mi novia ha tenido la amabilidad de escucharme ( no quiere saber nada sobre informatica, y menos viniendo de mi! ) y de crear delante mio un album en Facebook. Resulta que en dicho proceso, es al principio de la creacion cuando Facebook te pregunta quien queremos que vea dicho album.

Por ello, no es que se cree el album y haya que retocar despues los permisos ante un posible permiso flexible por defecto, no. Facebook te lo pregunta en un formulario a la hora de crearlo, y justo al principio.
Por ello podremos ver los albumes los cuales se crearon con "toda" consciencia de los permisos por parte de la persona creadora del album.

Si el album tiene permisos solo para amigos o privado (?), no podremos verlos. Si la persona no tiene albumes, nos saldra el mismo error.

Resumiendo no es un bug, es solo una manera de aprovechar la API y el fql para facilitar la busqueda de albumes abiertos.
Cabe recalcar que los filtros para los permisos en los albumes son muy minuciosos, y me ha sorprendido cuan agudos son.

Suerte.

  /**** MODIFIKO ****/
Bueno, no se nos pregunta por el filtrado JUSTO al principio, pero si en plena creacion.
"La envidia es una declaración de inferioridad"
Napoleón.

sirdarckcat

pero nadie ha dicho que esto es un bug.. es una vulnerabilidad, que es diferente xD

toxeek


Que tal sdc?!

Bueeeeeeeeeenooo.. xD!!

Pero yo tampoco lo veo una vulnerabilidad!!

Saludos.
"La envidia es una declaración de inferioridad"
Napoleón.

Littlehorse

Que no es un fallo? o sea es simple, tu no tienes la opcion de ver los albums de las personas si no lo tienes agregado como amigos SALVO que el perfil sea publico y que las fotos tambien lo sean. Ahora, si el perfil NO es publico (o sea aparece en gris en vez de aparecer en azul para clickearlo) no hay opcion en ninguna parte para ver sus fotos, o sea que es un fallo esta claro XDD porque yo ahora mismo estoy viendo fotos de famosas en mi pais y te aseguro que no todas deberian ser visibles. ;D
An expert is a man who has made all the mistakes which can be made, in a very narrow field.

sirdarckcat

#35
La vulnerabilidad es que Facebook por el diseño de su sitio, hace que las galerias publicas no sean visibles a los usuarios regulares. Lo que da la sensacion de que tener el perfil privado es suficiente.

Esto seria "casi" verdad, si no existieran estos metodos de obtencion del aid (porque si no existieran los tendrias que "bruteforcear"). Esta inconsistencia en su modelo, representa una amenaza a la privacidad de los usuarios, lo cual es un riesgo, y por consiguiente, es una vulnerabilidad. Porque explota el diseño de la aplicacion, afectando la confidencialidad del usuario.

Saludos!!

Tryptophan

Cita de: sirdarckcat en 16 Marzo 2009, 01:24 AM

Esta inconsistencia en su modelo, representa una amenaza a la privacidad de los usuarios, lo cual es un riesgo, y por consiguiente, es una vulnerabilidad. Porque explota el diseño de la aplicacion, afectando la confidencialidad del usuario.


Creo q mas claro imposible...Vos definis esos albumes para q tengan un determinado "scope" de usuarios y por esta vulnerabilidad, bien dicho por SDC, hace q el "scope" sea mas abarcativo q lo supuesto...

Novlucker

AAAAAAA, claro, entones era por eso que en el perfil de un amigo aparecia como empty, entonces queda en que se pueden ver todas las imagenes de perfiles, siempre y cuando el album no requiera permisos extra  :P

Saludos
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

Littlehorse

No probe pero en teoria

"Mis redes y amigos": Deberia funcionar si perteneces a la misma red

"Amigos de mis amigos": Pues eso deberia funcionar si eres amigo de alguien que tenga.

Y los problematicos son solo amigos y personalizar
An expert is a man who has made all the mistakes which can be made, in a very narrow field.

N1K0

Cita de: Novlucker en 16 Marzo 2009, 02:16 AM
AAAAAAA, claro, entones era por eso que en el perfil de un amigo aparecia como empty, entonces queda en que se pueden ver todas las imagenes de perfiles, siempre y cuando el album no requiera permisos extra  :P

Saludos
se, por ejemplo un album creado aplicando atributos como solo visible para amigos
alque no se puede acceder aun sabiendo su aid seria http://www.facebook.com/album.php?aid=2001791&id=1546388293

igualmente dentro de la tabla album hay una columna perteneciente a los atributos del album que se llama 'visible' ej:
Código (sql) [Seleccionar]
select link,visible from album where owner=1546388293
para filtrar los resultados y obtener los albums sin atributo alguno osea accesible para todos seria
Código (sql) [Seleccionar]
select link from album where owner=1546388293 and visible='everyone'

bah eso pienso yo nose ...
no sigo probando xq me bloquaron las dos cuentas  :¬¬

Saludos