Comments on: Facebook hacked – sql injection

By: NeoX

NeoX — Thu, 01 Oct 2009 20:20:07 +0000

unu as ya know there are on facebook about 19 sql injectable pages, thats the count i found now, only i am not as good as you to exploit it i can just find it:)

By: d3ck4

d3ck4 — Fri, 27 Feb 2009 18:02:54 +0000

unu you are my man!
nice findings btw..

By: Claudel

Claudel — Thu, 05 Feb 2009 02:39:21 +0000

hahahahahaha daca ar durea prostia ar muri astia instant constant nelimitat de fapte, ia si citeste
http://wiki.developers.facebook.com/index.php

facebook e doar o platforma care citeste aplicatiile alea, care defapt sunt “embed” in site dar totul este extern, unde facebook e doar un reader, ala nu a spart nici un facebook, a spart site-ul de pe care ruleaza ownerul aplicatia si chestia asta se vede foarte bine in poza asta
http://img443.imageshack.us/img443/2913/etcpasswoc3.jpg
dar nu multa lumea chiar citeste, tre sa ai iq pe minus ca sa crezi ca facebook are 20 useri cu tot cu sys:)))))

ce este mult mai interesant, este faptul ca orice idi cu si anume cateva cunostinte de programare poate sa-si faca o app facebook sau poti sa le cumperi gata facute, problema ar fi ca sunt verificate si acceptate manual

nu zic ca nu e interesanta chestiuta asta, poti sa faci bani buni din ia, gandeste doar cati bani ai face daca ti-ai pune cate un ad unit de 1pixel pe o aplicatie cu 10-20demii de useri inregistrati, care folosesc cel putin 1data pe zi aplicatia, si scuza-ma 80% din aplicatii sunt de social sau gaming fii singur ca 80% din useri intra pe aplicatia aia de 5-6 ori, problema mai mare ar fi ca daca te a agatat facebook te-ai cam ars la fundulet, dar e destul de lejer pentru ca si ala de si-a pus aplicatia are bannere si ads si mai intai tre’ sa-si dea seama el dupa aia face report se verifica logurile si tralala intr-un sfarsit ajunge la contul tau de ads de ff multe ori nu se merita atata munca asa ca nu patesti nimic doar iti sterge ad-ul si isi fac fix ptr bug

By: franco

franco — Wed, 04 Feb 2009 23:24:52 +0000

sql injection + local path disclosure = shell acces and maybe a rooted server. good job

By: Octav

Octav — Wed, 04 Feb 2009 22:29:17 +0000

asta e partea a2a… prin xss de yahoo s-a luat si parola la siteul elenei … dar asta nu inseamna ca siteul ei era vulnerabil

By: unu

unu — Wed, 04 Feb 2009 12:04:45 +0000

intr-o oarecae masura fiecare are dreptate …direct sau indirect se pot accesa milioane de conturi .De ex pe apps-ul live gifts erau peste 400.000 de session key-uri , si nici pe un site din cele prezntate mai sus nu erau mai putin de 200.000 de conturi cu parole cu tot.Pe langa asta, ganditi-va la un simplu exemplu de exploatare (desigur dupa ce obtii linia de comanda) : redirect la o pagina fake de logare

By: Alin

Alin — Wed, 04 Feb 2009 11:00:19 +0000

Deci aveti sau nu acces la baza de date?

Din cate stiu eu, aplicatiile nu au posibilitatea sa vada efectiv numele, prenumele sau e-mail-ul user-ilor. Aplicatiile au acces la functii de genul send_email(), care se executa pe serverul facebook si trimite mail-ul clientului – fara ca aplicatia third party sa vada date personale.

Deci?

By: Octav

Octav — Wed, 04 Feb 2009 10:52:07 +0000

@Andre3000: aici te inseli. baza de date si aplicatia e gazduita de alt site, in ultima poza se vede clar si despre ce site e vorba in cazul respectivei aplicatii.

Tot ce ati incercat sa aratati aici e de fapt sql injection in apps

By: 2fingers

2fingers — Wed, 04 Feb 2009 08:23:44 +0000

E ziua lor azi?

By: Dany

Dany — Wed, 04 Feb 2009 08:21:36 +0000

Chiar de ziua lor, hhaha, las că-i bun