Facebook Graph API Users ID (and others) Information Disclosure

De Juan Carlos García -

# Exploit Title : Facebook Graph API Users ID (and others) Information Disclosure-    OAuthException-

# *Vendor*: Facebook.com http://graph.facebook.com

# Author: Juan Carlos Garcia (@secnight)

# Blog: http://hackingmadrid.blogspot.com
           


BREIF DESCRIPTIONThe Graph API is the primary way that data is retrieved or posted to Facebook. The Getting Started Guide contains an overview of the basics of the API, walks you through using the Graph API Explorer, shows you how names work, how permissions work, what connections are and puts it all together so the rest of this reference make sense.

Disclosure

Anyone can access the data from ANY user due to the release of information that produces the "Graph API" because of the functionality they have given to this API for developers.
The "excess" functionality provided in this API make data users are exposed without any need for it any malicious attacker and make a compilation of information from the target
It is possible to identify people according to their id as will be seen in the proof of concept and insecure http protocol also makes it vulnerable to a brute force attack


Proof Of Concept ( PoC)

First …


As you can see, we have a “"GraphMethodException”

"error": {
"message": "Unsupported get request",
"type": "GraphMethodException",
"code": 100

Creating an OAuthException

http://graph.facebook.com/00000000000000000000000000000000000000000000
{
"error": {
"message": "(#803) Some of the aliases you requested do not exist: 00000000000000000000000000000000000",
"type": "OAuthException",
"code": 803


Mark Zuckerberg CEO Facebook


{
"id": "4",--curious … The number 4 .. Who is id 1,2,3 ;)
"name": "Mark Zuckerberg",
"first_name": "Mark",
"last_name": "Zuckerberg",
"link": "https://www.facebook.com/zuck",
"username": "zuck",
"gender": "male",
"locale": "en_US"

The Reverse
http://graph.facebook.com/4

 Metadata Disclosure

 This web .. WTF???

 https://graph.facebook.com/172393869485449?metadata=1

https://graph.facebook.com/?ids=http://hackingmadrid.blogspot.com

but...

https://graph.facebook.com/172393869485449?metadata=2


{
   "error": {
      "message": "(#100) Param metadata must be a boolean",
      "type": "OAuthException",
      "code": 100


OK, OK ;)

https://graph.facebook.com/172393869485449?metadata=0


IDS=google

https://graph.facebook.com/?ids=google
TWITTER SHARES ? ..


{
   "https://www.twitter.com/": {
      "id": "https://www.twitter.com/",
      "shares": 1386667
   }
}


https://graph.facebook.com/?ids=https://www.twitter.com/


COOKIES

A list of cookies that were set for the user as represented in FQL. Facebook Query Language (FQL) R

Columns
Name
expires
timestamp
name
string
path
string
uid
numeric string
value
string


To access this table you only need:
  • a valid access token with basic permissions. Facebook Login makes it easy to connect with users on your app or website. You can use several methods in the JavaScript or mobile SDKs to speed up the registration process and build a functional system in minutes.


Stealing Cookies

You only need the next SQL Query to extract the cookie...

SELECT ... FROM cookies WHERE uid = A

Note: Additional filters on other columns can be specified but they may make the query less efficient.
Permissions

To access this table you ONLY need:
/Admin

"id": "100005597474065",
"name": "AD Min",
"first_name": "AD",
"last_name": "Min",
"link": "https://www.facebook.com/ad.min", https://www.facebook.com/ad.min
"username": "ad.min",
"gender": "male",
"locale": "ru_RU"
}
Procedure:Open de links given above and you can play .. No hack, No fun ;)
Brute Force ?
As you can see ..  http://graph.facebook.com .. 
IF protocol="http" 
THEN protocol.http.vulnerable=Brute.Force.Attack

Easy? I think YES !!!

 All such Information Disclosures that are producing  by to the API excess functionality for the developers, make the information gathering penetration testing phase are a simple and immediate work in this social network... work easier to malicious users.

Special THANKS : Eduardo Arriols Nuñez


Entradas populares de este blog

Proteger ASP.NET de inyecciones SQL How T0? BEST PRACTICES

De Juan Carlos García -
Cómo: Proteger ASP.NET de inyecciones SQL Publicado: 21 de Diciembre de 2005 Post:eado:19 de  MARZO 2012 Motivo:   Aumento de Hacking en Aplicaciones Web de manera Brutal desde el 2005 y aumentando Este artículo se aplica a y a como securizar para evitar ser hackeado, si, o si !!! ASP.NET versión 1.1 ASP.NET versión 2.0 y para lo que habeís hecho desde el 2005, estudiarlo bien majetes porque seguís sin securizar el puto código de la parte servidor ... !!! Por dios, ya está bien de poner a los usuarios y trabajadores en peligro .. !! Es tan difícil poner un poquito de atención. Resumen: En este artículo se describen una serie de métodos que ayudan a proteger la aplicación ASP.NET de inyecciones SQL. Entre las distintas técnicas se incluyen la restricción de entradas, el uso de parámetros SQL con tipos seguros para el acceso a datos y el uso de una cuenta con menos privilegios que tenga permisos restringidos en la base de datos. La inyección SQL puede producirse cuando una apl
Leer más

CERTIFICACIONES DE SEGURIDAD

De Juan Carlos García -
Imagen
CERTIFICACIONES DE SEGURIDAD For Fun and Profit Nuevo curso, toca mirar todo lo que tenemos y más … Eso si, caro caro caro(..) Seguridad General—Nivel Basico Brainbench Basic Security Certifications : Ofrece varias certificaciones, un examen por certificación ·          Brainbench Firewall Administration Concepts ·          Brainbench Internet Security ·          Information Technology Security Fundamentals ·          ITAA Information Security Awareness ·          Brainbench Microsoft Security ·          Brainbench Network Authentication ·          Brainbench Network Security ·          Security Industry Knowledge (U.S.) Fuente: Brainbench CDRE -- Certified Disaster Recovery Engineer Conocimientos básicos de recuperación de desastres (DR) y continuidad de negocio (BC) metodologías de planificación. A CDRE reconoce los riesgos y vulnerabilidades de la vida real a una infraestructura de TI, sabe cómo proteger los activos contra las a
Leer más

HACKING MADRID_"EASY" XSS and Cross Site Tracing XST

De Juan Carlos García -
Imagen
XSS-XST COMENZANDO DESDE 0 Y..Cross Site Tracing !!!  A MI ABUELA ... DESCANSE EN PAZ .. El primer ordenador lo recibí en tu casa con 11 años, en reyes, te acuerdas ?  .. Yo jamás olvidaré nada de nada !!! GRACIAS !!!  Al referirnos al Cross-Site-Scripting podemos encontrar bastante material didáctico acerca del tema, algunos de ellos describen los modos de ataques como directos e indirectos, pero realmente creo que podemos simplificar y enfocar de una forma mas directa en dos simples componentes que son: 1. Ataque al usuario. 2. Ataque a la aplicación   Por otro lado tendríamos "persistentes" y "No persistentes" .. es decir, entre wikipedia y OWASP , madre mía la de toería que teneís .. pero lo que quiero directamente es que comenceís a buscar objetivos y a "practicar" "éticamente" . Bien, si no sabes HTML ni JavaScript directamente ya sabes lo que tienes que hacer para poder realizar estos ataques tan singulares que e
Leer más