Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 31, views: 11.206 •

De bug die Facebook-gebruikers op de wall van anderen laat posten ondanks dat zij geen vrienden zijn. De ontwikkelaar toont hoe de exploit werkt.

Reacties (31)

Dit moet wel het saaiste filmpje ooit zijn, waarom niet gewoon een Engelse voice over?
Omdat hij waarschijnlijk niet zo heel goed Engels spreekt. Het typen is waarschijnlijk duidelijker dat het spreken
Dan had hij gewoon een blog-post met wat screenshots moeten maken ipv een filmpje. Sowieso vind ik de ontwikkeling van de laatste tijd dat elke howto etc maar een filmpje moet zijn een zeer kwalijke zaak, bij een tekst is het veel makkelijker te scannen en de relevante dingen eruit te pikken.
zo zie je dat het echt gebeurd en dat er geen truckjes aan te pas komen.

Ook denk ik niet dat hij een howto zou plaatsen, je kan namelijk niet zien hoe hij het precies gedaan heeft, enkel het resultaat. Hij wil een probleem aankaarten, niet delen zodat iedereen het kan.
ja, want filmpjes zijn niet te editen enzo...
Dan had hij alsnog van tevoren alles kunnen typen en dan in het filmpje zelf daar doorheen scrollen. Zo zitten we het grootste deel van de tijd te kijken naar iemand die sloom aan het typen is, en dat vind ik persoonlijk niet zeer boeiend :/

Maar nu niet meer over de video zelf maar over waar de video nou over gaat:
Toch wel apart dat dit nú pas wordt opgemerkt en dat dit zo gemakkelijk kan..
Deze video laat zien dat het mogelijk is maar niet geheel hoe, ben niet van mening dat de ontwikkelaar toont hoe de exploit exact werkt.
Maar het laat zich natuurlijk wel raden. Je kopieert de id uit de graph page en voegt die in de HTML van je eigen post in. Ik denk dat het je een minuut kost om het precies uit te vogelen.
Och... dit is een beetje standaard "formuliertje aanpassen"
Je gaat naar een vriend toe, typt daar je post,
Je doet element inspecteren op het post form, je zoekt de waarde "xhpc_targetid" en vult daar het gewenste target in, (die je via de graph api hebt achterhaalt)

Niet geprobeerd, maar na dat filmpje gezien te hebben, en een keer op element inspecteren geklikt te hebben, en naar het id nummer van de graph api van die persoon gezocht te hebben lijkt dit me de logische conclusie.
Lijkt inderdaad wel, dan is het toch opvallen dat dit niet eerder opgemerkt is.
Volgens mij gewoon console openen en wat id's veranderen en server side word er niets gechecked.
Tegelijkertijd een beginnersfout, maar wordt door routine ook af en toe vergeten door mensen met ervaring. Je moet nu eenmaal elk id, nummer, text, .. dubbelchecken op de server.
Dit bewijst maar weer, rechten moeten server side gecontroleerd worden, niet client side. De client moet zich als een "domme terminal" gedragen, de intelligentie moet in de server.
Als je enigszins gebruikersvriendelijkheid wilt aanbieden moet je het én client side én server side controleren. De interface moet geen dingen toelaten die niet kunnen of mogen om te voorkomen dat de gebruiker zich ergert als dingen niet werken.

De server moet geen dingen toelaten die niet kunnen of mogen om te voorkomen dat kwaadwillende gebruikers scripts kunnen misbruiken om hun doel te bereiken.

Server side is vanuit een beveilingsoogpunt dan wel de belangrijkste, maar vanuit een usability oogpunt is de client side check juist het belangrijkst.
Ik gok dat ze dit bij Facebook ook wel snappen, gezien dit op alle andere 10000 plekken wel goed gecontroleerd wordt. Als je zoveel plekken hebt waar zoiets mis kan gaan is het gedoemd op 1 plekje ook mis te gaan.

Ik vind de reactie van FB (of het uitblijven daarvan) toen deze meneer de exploit meldde kwalijker.
Tegelijkertijd een beginnersfout, maar wordt door routine ook af en toe vergeten door mensen met ervaring. Je moet nu eenmaal elk id, nummer, text, .. dubbelchecken op de server.
God knows hoeveel browser webgames ik idd daarmee kapot heb gemaakt, beetje klooien met id's en opeens heb je tonnen van een items of gaan dingen heehl snal xD
Ik kan wel raden hoe het werkt.. In het post formuliertje staat een userid, dat moet je aanpassen naar een ander userid..
Dit klinkt te simpel om waar te zijn.. Ik zal het eens testen..

Volgens mij moest je dit ID aanpassen:

<input type="hidden" autocomplete="off" name="xhpc_targetid" value="786819828">

Maar ik krijg de error:
Could Not Post to Timeline
The message could not be posted to this Timeline.

[Reactie gewijzigd door pim op 18 augustus 2013 13:25]

<input type="hidden" autocomplete="off" name="xhpc_targetid" value="100000000000000">

daar moet je de value aanpassen waar het aantal cijfers gelijk blijft (b.v. 100000123456789)
Oudere Facebook ID's zijn niet zo lang, vanaf een bepaald tijdstip zijn ze prefixed met een 1 en x aantal nullen dus volgens mij klopt je aanname niet.
in de graph.facebook.com pagina was mijn id zonder prefix nullen terwijl ik ze wel nodig had om de reactie te plaatsen
de eerste 2 minuten kan je wel skippen, voor de rest laat hij niet eens zien wat hij in het developers console doet... zelden zo een slecht filmpje en uitleg gezien.

afgezien van dat ziet het er wel vrij simpel uit om te doen
Ziet er interessant uit, maar ondertussen mis ik veel van wat hij daadwerkelijk in de developer console doet. Had liever een uitgebreide blogpost gezien waar het duidelijk wordt uitgelegd, dat is toch wat beter dan dit.
Ik heb dit geprobeerd met iemand die ik ken : als deze geen vriend is krijg je de melding : "kan bericht niet op prikbord plaatsen" maar als je dit doet als je wel vrienden bent gaat het wel door de html aan te passen

je verandert de eerste 2 (of 3) targetid 's in de value van de persoon op wie zen prikbord je wil schrijven

mij lijkt het dat de bug al door fb verwijdert is.
Nou, wie gaat er iets naar onze Zuck posten? Dan duurt het vast niet lang voor het gefixed is.

{
"id": "4",
"name": "Mark Zuckerberg",
"first_name": "Mark",
"last_name": "Zuckerberg",
"link": "http://www.facebook.com/zuck",
"username": "zuck",
"gender": "male",
"locale": "en_US"
}
Dat heeft hij zelf inmiddels al gedaan. Toen was het wel snel gefixt.

http://www.businessinside...to-hack-zuckerberg-2013-8

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013