Facebook.com sql injectoin by inj3ct0r.com

HackForum

Facebook.com sql injectoin by inj3ct0r.com#
[link] 1. cast

[link] 2. cast

Hack of the year?

Jedna vec:
[link]

Mohl by nekdo znaly jen par vetami vysvetlit, proc to tak uplne nevypada jako normalni sql injekce?
Namatkou jsem zkousel id=x and 1=2 misto id=-1 na nekolika webech, o kterych vim ze jsou zranitelne, ale nefunguje mi to. Thx
(odpovědět)
NoName | 193.200.150.*29.7.2010 23:09
re: Facebook.com sql injectoin by inj3ct0r.com#
To jsou ale jen 3rd aplikace, ne? Tudiz nic noveho pod sluncem. Primo do db fb se tedy stale nikdo nedostal.

----------
Cow power by Gentoo...
(odpovědět)
Anonymous_ | E-mail30.7.2010 0:04
re: Facebook.com sql injectoin by inj3ct0r.com#
Ja bych rek, ze to "jen" neni na miste.. to "zlo" jmenem facebook ma skoro 2500 serveru a nepredstavitelne mnozstvi uzivatelu. Prunik takoveho rozsahu nelze komentovat tim, ze je to "jen" 3rd aplikace. A uz vubec ne v dobe, kdy se daji stahnout data milionu uzivatelu (nejen) na piratebay. Ano, nejde o zadne kriticke data, v podstate to co se ted da stahnout je dobry zaklad pro nove vznikajici roboty, kteri si facebook podaji.
A kdyz to nekdo spravne spracuje, tak se dostaneme ke kompromitaci citlyvych dat uzivatelu. Ke kompromitaci dat, ktere se uz z principu nikdy nemely na verejnost dostat.

Je potreba ty udaje brat jako maly kousek celku. Kdyz si tech kousku dokazes poskladat dost, tak mas na par kliknuti podrobne info o vetsine lidi na teto planete.
(odpovědět)
pcdm | 89.103.11.*30.7.2010 0:29
re: Facebook.com sql injectoin by inj3ct0r.com#
Tak ti boti už jsou dávno tuhou realitou. A nejen ti, kteří zkouší hledat chyby.
(odpovědět)
Duck | 85.71.165.*30.7.2010 11:41
re: Facebook.com sql injectoin by inj3ct0r.com#
Takze predne. Data 100 milionu uzivatelu na torrentu jsou _POUZE_ jmena a URL ziskana z verejne dostupneho [link] (FB Directory). Na TOM nevidim nic nebezpecneho a z tohoto adresare si ty jmena mohl vyparsovat kdokoliv kdykoliv. To, ze o tom kazdy mluvi jako ty, znaci jen neznalost problemu a nafouklou bublinu, kterou zpusobila media po celem svete. Kdyby v mediich nebyli hnupove, nikdy by ze seznamu jmen - ktery je verejne dostupny - nebyla takova bomba. A ne, neni to ani pro roboty (jak pro roboty vyuzijes seznam jmen? To ti usetri pouze par dni parsovani toho FB directory, nic vic, nic min)

Prunik do databaze nejake bezcenne aplikace, kde nejsou zadna zajimava data nic neznamena. Databaze 3rd party app nema nic spolecneho s fb db, kde jsou zajimava data.

btw, citlivych se pise s,,i"

----------
Cow power by Gentoo...
(odpovědět)
Anonymous_ | E-mail30.7.2010 16:15
re: Facebook.com sql injectoin by inj3ct0r.com#
i/y preklep :)

Jinak asi mate vsichni pravdu. Nechal jsem se zmast bulvarem a primo cela ten popis hacku jsem necetl..
(odpovědět)
pcdm | 89.103.189.*31.7.2010 12:49
re: Facebook.com sql injectoin by inj3ct0r.com#
Protoze 3rd aplikacim jejich uzivatele povoluji pristup k osobnim datum, neni tento problem zase az tolik nedulezity a i v jejich db se citliva data urcite najdou. Ne ve vsech, ne v takovem mnozstvi, ale stejne...
(odpovědět)
Alma | 193.165.66.*4.8.2010 0:34
re: Facebook.com sql injectoin by inj3ct0r.com#
co se tyce toho seznamu, tak se skutecne jedna o krasny priklad toho, co dokazi media rozsirit za hloupost. v linuxu si lze podobny seznam tvoreny ID a jmenem uzivatele facebooku vytvorit snadno, staci zadat v shellu nasledujici radek, stisknout enter a par hodin pockat:

for i in $(seq 1 999999999); do curl -s http://graph.facebook.com/$i | grep -v false | cut -d '"' -f 4,8 | tr '"' ','; done > list.csv

(v kompilovanem jazyce by to bylo samozrejme jeste mnohonasobne rychlejsi).
(odpovědět)
Emkei | E-mail | Website | PGP30.7.2010 17:37
re: Facebook.com sql injectoin by inj3ct0r.com#
"v kompilovanem jazyce by to bylo samozrejme jeste mnohonasobne rychlejsi"

Ne nutne, tady imho zalezi spis na pingu a rychlosti netu. Spis nez kompilovany jazyk by tomu pomohl pocitac na pateri a vice threadu.
(odpovědět)
Bystroushaak_ | 85.70.61.*30.7.2010 17:50
re: Facebook.com sql injectoin by inj3ct0r.com#
to je sice teoreticky pravda, prakticky vsak u me vzdy v rychlosti zvitezila aplikace v C++ oproti parsovani pres bash a to skutecne nekolikanasobne.
(odpovědět)
Emkei | E-mail | Website | PGP30.7.2010 17:55

Zpět
 
 
 

 
BBCode