Facebook Photo.php User-Spoofing Vulnerablity [TH]

ก่อนหน้านี้โพสไปแล้วทีหนึ่งแล้วลบออกเพราะกะจะรอต่อดู แต่สรุปวันนี้ได้รับเมลconfirmแล้วว่าไม่ผ่าน “it does not appear to be a significant security risk.” เลยโพสใหม่สำหรับใครที่ยังไม่ได้อ่าน ถึงแม้มันอาจจะไม่อันตรายเท่าไร แต่ผมมองว่ามันสามารถเอามาทำphishingหรือแกล้งคนที่ไม่รู้ หรือdefameคนได้ดีพอสมควร ไฟล์ photo.php ในfacebook จะมีparameterหนึ่งชื่อว่า set ปกติจะเห็นตอนเปิดภาพหรือวิดีโอ photo.php?fbid=123&set=123123 valueของparameterนิจะมีcharนำต้น เช่น a. t. อะไรก็ว่าไป ซึ่งถ้าเราทำการเปลี่ยนvalueพวกนี้ เราก็จะสามรถเปลีย่นพวกลิ้งBack To Album, Album Nameในหน้านั้นได้ charนำต้น (อาจจะมีอีก) a. – น่าจะเป็นalbum t. – timeline (ต้องอยู่ในfriendlistถึงเรียกได้) pb. – photo stream gm. – postในกลุ่ม vb – video ตัวอย่าง https://www.facebook.com/photo.php?fbid=169099303296011&set=pb.4 … Continue reading Facebook Photo.php User-Spoofing Vulnerablity [TH]