.com/fluff/fluffbook.p...),18,19,20,21--
voila une petite faillouinette
Version complète : J Ai Hacker Facebook
vaut mieux pas les prevenir 
Biensur que si tu ferais bien de les prévenirs, ici tu est sur un forum public ne l'oublie pas.
La faille est une injection sql avec un vecteur de concatenation elle peut permettre d'obtenir des informations sur le serveur et la base de donnée reliée a l'application facebook "fluffbook". Un simple mail envoyé a [email protected] te permettra de faire signalé et corrigé la faille.
Bonne continuation et la prochaine fois essaye de faire un sujet de plus de 2 lignes mdr.
La faille est une injection sql avec un vecteur de concatenation elle peut permettre d'obtenir des informations sur le serveur et la base de donnée reliée a l'application facebook "fluffbook". Un simple mail envoyé a [email protected] te permettra de faire signalé et corrigé la faille.
Bonne continuation et la prochaine fois essaye de faire un sujet de plus de 2 lignes mdr.
et j ai quoi si je les prévient
mais je croit que tu l'as déjà fait lol
Dis moi le si tu la pas fait je le ferais
mais je croit que tu l'as déjà fait lol
Dis moi le si tu la pas fait je le ferais
c est bon je les prevenu avec l adresse email que tu ma passer
au fetes comment c est possible qu'une faille aussi pourrit soit sur se site??
au fetes comment c est possible qu'une faille aussi pourrit soit sur se site??
je poste une autre sql pour vous montrer que facebook est extremement faillible
http://apps.facebook.com/fluff/art.php?id=...OM+mysql.user--
http://apps.facebook.com/fluff/art.php?id=...OM+mysql.user--
Citation (owned @ Dec 10 2008, 08:29 AM) 
c est bon je les prevenu avec l adresse email que tu ma passer
au fetes comment c est possible qu'une faille aussi pourrit soit sur se site??
au fetes comment c est possible qu'une faille aussi pourrit soit sur se site?? Et bien c'est simple , c'est parce que c'est pas facebook qui créé ses applications ce sont les particuliers, toi aussi tu peus créé la tienne qui est vulnerable si tu as de mauvaises intentions(se que je te déconseille car tu grilleré les ToS). En ce qui concerne les faille que tu nous envoi je suggère que tu prévienne facebook avant de les poster, moi je n'irai pas le faire a ta place c'est pas ma responsabilité ni ma malice qui l'a trouvée donc je n'ai aucun mérite a le faire. Cette semaine plus de 5 failles facebook ont été découvertes par des francais , 2 sqli par toi, 1 xss(en mode POST) 1 redirect par p3lo , et quelque grosses xss par xylitol on pourrais l'appelé la semaine rouge de facebook héhé.
Continue comme sa mais evite les 0day ici surtout quand sa concerne des injections sql(on pourrait penser que tes intentions sont mauvaises), et surtout n'oublie pas de les prévenir, beau travail de recherche
.
sa va merci
la semaine facebook lol
la semaine facebook lol
Déjà rien qu'au titre "J Ai Hacker Facebook, im the best" je trouve ça amusant. Il n'est pas bien compliqué de faire tourner un scanneur sur une URL pour tester les failles SQL, XSS... à la volé.
Et pour éclaircir le hacking de facebook. Il faut savoir que ce n'est pas facebook que tu "hacks" mais les "applis" développées par des particuliers (qui sont hébergées par les particuliers) et que par conséquent tu n'es pas relié au serveurs de facebook. Donc tes failles SQL peuvent toucher les applications mais pas facebook en lui même (La nuance est énorme quand même).
Donc avant de t'imaginer que facebook est extrêmement faillible (comme tu le dis) et que la sécurité est pourri essaie de comprendre son fonctionnement et tu verra que tu es très loin de l'exploit du siècle ;-)
Et pour éclaircir le hacking de facebook. Il faut savoir que ce n'est pas facebook que tu "hacks" mais les "applis" développées par des particuliers (qui sont hébergées par les particuliers) et que par conséquent tu n'es pas relié au serveurs de facebook. Donc tes failles SQL peuvent toucher les applications mais pas facebook en lui même (La nuance est énorme quand même).
Donc avant de t'imaginer que facebook est extrêmement faillible (comme tu le dis) et que la sécurité est pourri essaie de comprendre son fonctionnement et tu verra que tu es très loin de l'exploit du siècle ;-)
Citation (Syrus @ Dec 11 2008, 05:49 PM)
Et pour éclaircir le hacking de facebook. Il faut savoir que ce n'est pas facebook que tu "hacks" mais les "applis" développées par des particuliers (qui sont hébergées par les particuliers) et que par conséquent tu n'es pas relié au serveurs de facebook. Donc tes failles SQL peuvent toucher les applications mais pas facebook en lui même (La nuance est énorme quand même).
Je ne suis pas tant d'accord que toi la dessus , la faille peut mettre les utilisateur de facebook en danger donc facebook en lui meme, dans ce cas si, les victimes potentielles seront tous ceux qui ont accepté l'application facebook fluffbook, prendre le controle d'un serveur autorisé en tant qu'application facebook par facebook peut s'avéré violent, je suis d'accord que les droit attribués aux développeur d'application facebook sont réduis par l'"obstacle" du langage développeur mais hélas ils ne réduisent pas les possibilité d'atteinte aux informations privées des utilisateur (je pense au données relatives au profil et aux cookies qui servent a identifier les utilisateurs).
Le titre du topic m'effraie beaucoup moins que les contenus de celui ci.
Edit :
Written by Dimitris Pagkalos
Monday, 15 December 2008
Facebook users are susceptible to phishing attacks and ID theft due to some new highly critical cross-site scripting vulnerabilities.
Security researchers Zeitjak, David Wharton, Daimon and p3lo, have recently discovered XSS flaws that affect several Facebook functionalities including the developers page, new users registration page, iphone login page and applications page.
Malicious people can exploit these XSS bugs to infect millions of Facebook members with malware, adware and spyware.
It is also very safe not to accept friend invitations from people you don't know. The reason is that a Facebook profile contains enough personal information which can be studied by fraudsters (your unknown friends) in order to create special phishing attacks or malware targeted to individual users or businesses. What if you click on a shared link or item? Then your privacy will belong to them!!!
So with the keywords security and privacy in mind, do use appropriately safe your social networking profile. Always question suspicious requests and notify them to the security staff.
Facebook staff usually fixes such flaws promptly.
Latest critical Facebook XSS:
XSS #1 with POST (by Zeitjak) | Mirror:
http://www.new.facebook.com/r.php
POST: ****email__="onmouseover="alert('XSS - ZJ')"foo="bar
XSS #2 with POST (by David Wharton) | Mirror:
https://login.facebook.com/login.php?iphone&*****
POST:
email***=biz%22%3E%3Cscript%3Ealert%28%27tohellwithgeorgia%27%29%3C%2Fscript%3E%3C%22&pass=greetz2evilghost&next=http%3A%2F%2Fiphone.facebook.com%2F&login=Login
XSS #3 (by DaiMon) | Mirror:
http://apps.facebook.com/blognetworks/sear...2)%3C/script%3E
This one works on another IP (67.228.87.82) and can't be used for a worm, except a phishing one.
XSS #4 with POST (by p3lo) | Mirror:
http://developers.facebook.com/tools.php****
POST:
profile=1299125444&position=wide&api****=%27%22%3E%3C%2Ftitle%3E%3Cscript%3Ealert%281337%29%3C%2Fscript%3E%3E%3Cmarquee%3E%3Ch1%3EXSS+by+p3lo%3C%2Fh1%3E%3C%2Fmarquee%3E+&fbml=
Facebook a été averti aujourd'hui dans l'attente de la correction de bug je censure les vecteurs
@ thibaut.l
Il y a en effet un risque en ce qui concerne les failles XSS et d'éventuels codes malveillants. Pour ce qui concerne le vol d'information cela ce limite aux informations que facebook laisse en "libre d'accès". Donc au final ce que je veux dire c'est que le vol de session/cookie se limite au serveur et non a facebook. Par conséquent il n'y a pas de "risque" concernant le vol de mot de passe/compte facebook via une une faille XSS. Au pire on peu récupérer les informations qui sont de toute facon divulgué par facebook (pour toute personne sachant pisser 4 lignes de code PHP).
En revanche il faut resté très prudent et toujours gardé en tête qu'une application facebook n'est pas facebook et donc n'est pas digne de confiance (concernant les informations privées, téléchargement etc...) et qu'il ne faut donc jamais y divulger d'informations.
En me relisant j'espère avoir été assez clair :-)
Il y a en effet un risque en ce qui concerne les failles XSS et d'éventuels codes malveillants. Pour ce qui concerne le vol d'information cela ce limite aux informations que facebook laisse en "libre d'accès". Donc au final ce que je veux dire c'est que le vol de session/cookie se limite au serveur et non a facebook. Par conséquent il n'y a pas de "risque" concernant le vol de mot de passe/compte facebook via une une faille XSS. Au pire on peu récupérer les informations qui sont de toute facon divulgué par facebook (pour toute personne sachant pisser 4 lignes de code PHP).
En revanche il faut resté très prudent et toujours gardé en tête qu'une application facebook n'est pas facebook et donc n'est pas digne de confiance (concernant les informations privées, téléchargement etc...) et qu'il ne faut donc jamais y divulger d'informations.
En me relisant j'espère avoir été assez clair :-)
Ceci est une version "bas débit" de notre forum. Pour voir la version complète avec plus d'informations, la mise en page et les images, veuillez cliquer ici.