Facebook Nueva Mente Vulnerable: Ver Fotos

19 05 2009

Buenas, realmente no es lo que esperan, realmente es “sin limites en facebook” o mejor me explico: Ver los albunes de tus “no” amigos, osea de gente que no te a dado su permiso. lamentablemente ultimamente no he constado de mucho tiempo, haci que aqui va algo no redactado por mi, pero que si cuide de que fuese de calidad y con licensia que me permitiesa ponerlo aca.

Las tecnologías de la información crecen desmesuradamente y cada día nace algo nuevo, eso me parece bien ya que es la prueba de que existe gente que aún tiene visión, sueños y sobre todo aspiraciones, pero para mí eso también me compromete ya que debo de esforzarme por aprender mucho mas, tomando en cuenta que me falta aprender una gran cantidad de cosas que ya existen y que siendo estudiante a tiempo completo y persona que lucha por tener vida (ya no) se vuelve difícil pero hago lo que puedo.

Dentro de este contexto me esfuerzo por mantener la idea de que “El conocimiento es de todos y para todos” y en este caso en particular me dispongo a compartir un bug encontrado mientras aprendia a usar las herramientas de desarrollo de facebook.

Los conceptos básicos

Lo que se conoce: SQL (Structured Query Language)

Es un lenguaje de acceso a bases de datos relacionales que permite especificar diversos tipos de operaciones sobre las mismas. Permite lanzar consultas con el fin de recuperar -de una forma sencilla- información de interés de una base de datos, así como también hacer cambios sobre la misma.

Lo que se quiere conocer: FQL (Facebook Query Language)

Lenguaje creado para permitir utilizar las bases de datos con más facilidad, el mismo Facebook usa esta para su red social, además de que tiene la finalidad de que se pueda acceder por medio de las API de Facebook (suponiendo que la aplicación tiene acceso).

Consulta:

Una consulta es el método para acceder a los datos en las bases de datos y presenta la siguiente estructura típica (SQL):

SELECT <>
FROM <>
WHERE <>

Abriendo la caja de pandora

Durante mi aprendizaje para aprender a crear API’s de facebook noto la importancia de planificar lo que pretende hacer, como por ejemplo si la herramienta a desarrollar necesita información de tus contactos para enviar mensajes o publicaciones (como en mi caso) entre otros factores. Ahora si lo pensamos un poco nos damos cuenta que para este tipo de propositos se necesita acceder a las bases de datos que tiene facebook y como se imaginan se debe usar FQL.

Y esto nos abre las puertas para entrar de lleno a lo que nos interesa, en este caso poder acceder a un contenido bloqueado por facebook, como por ejemplo perfiles privados, información de personas que no tenemos en nuestra lista de amigos, o quizás lo que muchos consideran la información mas valiosa, las imagenes.

FQL es muy parecido a SQL solo variando talvés un par de cosas como podemos ver en la siguiente sentencia donde necesitamos obtener la localización, link y album de un determinado usuario (owner), para la cual la sentencia FQL sería la siguiente:

SELECT name, location, link
FROM album
WHERE owner = id_víctima

Donde…

SELECT: Es la información que obtenemos en la consulta, en este caso “name”, “location”, “link”.

FROM: La tabla de la cual tomamos la información, dentro de la base de datos de facebook, en nuestro caso “album”.

WHERE: Condición que debe de cumplir el registro para ser extraido que en este caso es el id de un usuario X que tiene privado su perfil por lo que no son visibles sus fotografias.

Y en especial este id_víctima es el valor numérico que se muestra cuando se da clic a la opción “Agregar como amigo” que en un ejemplo cualquiera podría ser:

http://www.facebook.com/addfriend.php?id=1157974428

Con lo que nuestra sentencia FQL quedaría:

SELECT name, location, link
FROM album
WHERE owner = 1157974428

Ya con nuestra sentencia armada creo que la pregunta que queda es donde demonios uso mis sentencias FQL, y la herramienta para esto nos la brinda el mismo facebook ya que existe una web orientada a desarrolladores, donde se puede “testear” de forma burda sentencias FQL.

Paso 0:

Entramos a la web para desarrolladores de facebook:

http://developers.facebook.com/tools.php

Paso 1:

Luego seleccionamos en “Formato de respuesta” la opción “Facebook PHP Client”.

Paso 2:

Ahora seleccionar en “Método” la opción “fql.query”

Paso 3:

Armar nuestra sentencia con el id (owner) de la víctima y colocar nuestra sentencia FQL en la casilla query. En nuestro ejemplo es este:

SELECT name, location, link
FROM album
WHERE owner = 1157974428

Paso 4:

Luego dar clic en el botón “Método de llamada” con lo que se generará el resultado en el área de la derecha.

Para nuestro ejemplo mostraría:

Array
(
[0] => Array
(
[name] => Dr
[location] =>
[link] => http://www.facebook.com/album.php?aid=22278&id=1157974428
)
[1] => Array
(
[name] => Profile Pictures
[location] =>
[link] => http://www.facebook.com/album.php?aid=-3&id=1157974428
)
)

El aid representa el id del album obtenido que en nuestra consulta genera mas de un aid, los cuales representan los albumes de la persona de donde claramente se puede identificar las url que sólo restaria copiar y pegar en la barra de direcciones del navegador.

Aclaro que este “bug” fue encontrado por el usuario Tryptophan de la comunidad que visito (ElHacker.net) dandose cuenta que Facebook no restringe el acceso, mi labor ha sido extender la definición y tratar de explicar de manera clara lo que sé sobre bases de datos aplicandolo al bug. Espero sea útil, y disfrutenlo mientras puedan, ya que como todo “bug” será arreglado por Facebook.

Cualquier duda o error los comentarios están abiertos.

Extraido de 1guanaco

Comentario: Probablemente les arroje algo como esto la consulta:

<?xml version="1.0" encoding="UTF-8"?>

<fql_query_response xmlns="http://api.facebook.com/1.0/" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" list="true">

  <album>

    <link>http://www.facebook.com/album.php?aid=20795&amp;id=1143011828</link>  (Le cambie un numero para respetar la privacidad del dueño)

    <name>Fotos de muro</name>

  </album>

</fql_query_response>

El Link que aparece arriba (“http://www.facebook.com/album.php?aid=20795&id=1143011828″) no es funcionara, deben eliminar el “amp;”, quedando:

http://www.facebook.com/album.php?aid=20795&id=1143011828 y no haci:

http://www.facebook.com/album.php?aid=20795&id=1143011828

Espero haver sido claro, Sean Frikis Cultos!.

Acciones

Información

Fecha : Mayo 19, 2009
Etiquetas: facebook, hack, hackear, privacidad, fotos, allbum, permiso, fql.query
Categorías : Mundo de 0 y 1

6 respuestas

19 05 2009: Daily News About Fotos : A few links about Fotos - Tuesday, 19 May 2009 19:17 (23:57:02) :

[...] Facebook Nueva Mente Vulnerable: Ver Fotos [...]

Responder
27 05 2009: yop (12:38:30) :

wow,,,,eso si que es un verdadero jackers

Responder
12 07 2009: miguel (23:39:29) :

y como seria el codigo si quiero ver su muro ??’
por que el de las fotos funciona pero como pregunto para ver el muro de la persona o el perfil???

Responder
1 08 2009: cata (00:53:50) :

cómo puedo ver el perfil de una persona sin que sea mi amigo??
ya no resulta la tecnica que diste para ver fotos… no me resulto!!

Responder
19 10 2009: matias (18:31:03) :

hola me da opciones para poder escribir!! para pegar el codigo! es mas no sale lo que indican los pasos: queiro evr las fotos detal persona o que la veas vos y me las mandes por email gracias!!

Responder
21 10 2009: Cristobal (16:29:14) :

YA NO FUNCIONA ! , no pierdan su tiempo….

saludos.

Responder

	LIGH-YAGAMI(KIRA) en Gifs Death Note
	tom en Tutorial: Usar el USDownl…
	Diego en Tutorial: Usar el USDownl…
	masterdj13 en Tutorial: Usar el USDownl…
	Mau en Tutorial: Usar el USDownl…

Las Frikiadas de un Elfo