Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Facebook okosságok

2009.03.13. 00:24 | buherator | Szólj hozzá!

Security Ninja rájött, hogy a Facebookon különösebb nehézség nélkül lehet böngészni a  felhasználók privát képeit. A képeket megjelenítő szkript

http://www.facebook.com/album.php

három paramétert vár:

  • Az id a felhasználó azonosítója, ami könnyű szerrel megszerezhető egy egyszerű keresés után
  • Az aid az album azonosítója. Minden felhasználó rendelkezik egy -3-as id-jű alapértelmezett albummal
  • Végül az l paraméter egy véletlen token, ami okoz egy kis fejtörést, de mivel hossza csak 5 karakter, és csak hexadecimális értékeket tartalmazhat, ezért kellő türelemmel és egy jó szkripttel viszonylag hamar rá lehet bukkanni a nyerő kombinációra, és feltehetőleg a Facebook is bírni fogja a strapát (vagy bannolja az IP-nket :).

Az album azonosító is hasonló módon kipörgethető sőt, egy Gary nevű hozzászóló szerint gyakorlatilag az összes Facebook alkalmazás hatékonyan támadható ezzel a nyers erőn alapuló módszerrel, így állítása szerint megmondhatjuk, hogy pl. egy felhasználónak milyen  a hangulata.

Nem egy világrengető felfedezés, de a péntek lajhártempójú perceinek átvészeléséhez pont jól jön ;)

Címkék: facebook brute force

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.