Facebook Bug: Allowing html tags in Group Doc [TH]

ฟอม edit docของdocumentในกลุ่มมีบัค ซึ่งทำให้เราสามารถใช้html tagได้ (บัคแต่ในหน้าedit docเท่านั้น create docไม่ได้) ถ้าสังเกตุดูในหน้าedit/create doc มันจะมีแต่พวกbold,italics etc บัคทำให้เราสามารถใช้html elementsต่างๆได้เช่นhyperlink,<img>,etc เนื้องจากไม่มีปุ่มให้attach imageในgroup docและมันเวิกแค่ในedit doc ผมก็เลยแจ้งไป
แล้วก็ได้รับเมลนี้
Thank you for sending in this report. This does seem like odd behavior. I am forwarding it to the engineers so they can look into it further. We will let you know the outcome.
ผ่านไปหลายเดือนได้รับเมลตอบกลับ
I heard back from the engineers. They said the ability to add html elements to a doc is allowed and it isn’t considered a bug. We look forward to getting future reports from you.
ผมก็สงสัย ถ้ามันallowให้ใช้ทำไมมันไม่มีปุ่มhyperlink, embed imageหรืออะไรในหน้าedit group doc? ใครเขาจะรู้ว่าทำได้? ใครเขาจะมานั่งพิม <img src=”http://localhost/blah.jpg”&gt;? อันนี้ไม่เท่าไร ก็มองว่ามันคงไม่สนใจบัคอะไนเล็กๆอย่างงี้ ผมก็เลยลองเช็คใหม่ดูใหม่ สรุปมันถูกแพชไปแล้ว!!! ที่งงคือบอกว่าไม่ใช้บัค แล้วจะแพชทำไม? -0- เงิบเลย
facebook4
facebook3
facebook2
https://www.facebook.com/groups/2600Thailand/permalink/227216377438398/
Advertisements

Facebook Embedding Flaw: Allowing users to embed swfs [TH]

Embedding Flash on Facebook
หลายๆคนน่าจะเคยลองโพสลิ้งyoutube,vimeoหรืออะไรต่างๆ จะพบว่าfacebookจะดึงข้อมูลจากหน้ายูทุปนั้น แล้วสร้างลิ้ง พร้อมรูปภาพและปุ่มPlayพอกดPlayคลิปก็จะรันผ่านvideo playerของยูทูป
facebookอนุญาตให้เราสามารถใช้og metadataมาระบุself-hosted objectsต่างๆ ซึ่งยูทูปก็น่าจะใช้เทคนิคนี้หรืออะไรประมารนี้ในการembed playerของยูทูปในfacebook (ไม่รู้ว่าเฟสบุคเขียนให้ยูทุปหรือยังไง)
เอาเป็นว่าเราสามารถใช้หลักการเดียวกันในการembed flashอะไรก็ได้ในเฟสบุค เช่นgame .swf etc มันจะดูเหมือนว่าเราโพสลิ้งวิดีโอ จะมีปุ่มplayให้เหมือนยูทูป แต่พอกดplayแถนที่จะไปรันวิดีโอจะทำการรันไฟล์flashของเราแถน (typeอื่นๆยังไม่ได้ลอง)
การใช้OG Metadata facebookบังคุบว่าต้องมี requirement 5อย่างนี้
og:type, og:url og:title, og:image,fb:app_id
อ่านเพิ่มเติมได้ที่
https://developers.facebook.com/docs/opengraph/

หลักการก็ไม่มีอะไรมาก สร้างเว็ปเพจลิ้งและทำการลิ้งโดเมนกับapp
สิ่งที่เราต้องทำก็คือหลอกว่าไฟล์เราเป็นvideoนั้นเอง
ปกติพอจะให้facebook ดึงvideo playerเรามาdisplayก็แค่ระบุประมารนี้
<meta property=”og:video” content=”http://localhost/?url=blah.mp4″&gt;
อย่างที่บอกไปก่อนหน้านี้facebookอนุญาต ให้เราembed custom video playerเพื่อที่จะมารันvideo เลยallowให้เราใช้file typeให้เป็นflashได้ ซึ่งไม่กันอะไรเลย แถนที่จะใส่video playerเราก็ใส่ไฟล์flashของเราเข้าไปตามนี้
<meta property=”og:video” content=”https://dl.dropboxusercontent.com/u/206457679/boxhead2play.swf“>
<meta property=”og:video:type” content=”application/x-shockwave-flash”>
<meta property=”og:video:width” content=”800″>
<meta property=”og:video:height” content=”500″>
ทีนี้พอเราshare linkที่โฮสหน้านี้ เฟสบุคก็จะทำการdisplayเหมือนดูvideoธรรมดา พอกดplay flashเราก็จะถูกรันนั้นเอง

สำหรับใครสงสัยหลักการscrape dataของfacebookสามารถใช้toolตัวนี้ได้ในการเช็ค
https://developers.facebook.com/tools/debug
ตัวอย่างsource
http://pastebin.com/iz6mhx1B
Post from:
https://www.facebook.com/groups/2600Thailand/permalink/222781854548517/facebookgame

Facebook Photo.php User-Spoofing Vulnerablity [TH]

ก่อนหน้านี้โพสไปแล้วทีหนึ่งแล้วลบออกเพราะกะจะรอต่อดู แต่สรุปวันนี้ได้รับเมลconfirmแล้วว่าไม่ผ่าน “it does not appear to be a significant security risk.” เลยโพสใหม่สำหรับใครที่ยังไม่ได้อ่าน
facebook1
ถึงแม้มันอาจจะไม่อันตรายเท่าไร แต่ผมมองว่ามันสามารถเอามาทำphishingหรือแกล้งคนที่ไม่รู้ หรือdefameคนได้ดีพอสมควร
ไฟล์ photo.php ในfacebook จะมีparameterหนึ่งชื่อว่า set ปกติจะเห็นตอนเปิดภาพหรือวิดีโอ photo.php?fbid=123&set=123123
valueของparameterนิจะมีcharนำต้น เช่น a. t. อะไรก็ว่าไป
ซึ่งถ้าเราทำการเปลี่ยนvalueพวกนี้ เราก็จะสามรถเปลีย่นพวกลิ้งBack To Album, Album Nameในหน้านั้นได้
charนำต้น (อาจจะมีอีก)
a. – น่าจะเป็นalbum
t. – timeline (ต้องอยู่ในfriendlistถึงเรียกได้)
pb. – photo stream
gm. – postในกลุ่ม
vb – video
ตัวอย่าง
https://www.facebook.com/photo.php?fbid=169099303296011&set=pb.4
จะสังเกตุได้ว่าชื่อalbumจะเขียนว่า Mark Zuckerberg’s Photoและลิ้งBack To Albumจะลิ้งไปphoto streamของmark zuckerbergในที่นี้ผมแค่อัพภาพหนึ่งขึ้นมาในเพจผมอันหนึ่งแล้วทำการเปลี่ยนค่าของset ให้เป้นpb.4 4ก็คือidของพี่มาคนั้นเอง ถ้าเปลี่ยนเป็นt.4 ก็จะเด้งไปtimeline (ถ้าจะใช้tต้องอยู่ในfriendlistของยูเซอนั้น) (สามารถเอาไอดีfbได้ผ่านgraph api)
note: ปกติพอเปลี่ยนชื่อเจ้าของรูป ชื่อจิงจะยังโชอยู่ใต้รูป ในลิ้งผมจะไม่เห็น ผมใช้หลักการbypass name checkของเฟสบุคและสร้างเพจขึ้นมาแบบไม่มีชื่อ

เพิ่ม
ไฟล์photo.phpนี้แปลกพอสมควรมีparameterอะไรแปลกๆเยอะอยู่ เช่นเราสามารถเรียกcrop imageขึ้นมาผ่าน makeprofile=1&makeuserprofile=1และอื่นๆ ลองหากันดูครับ

https://www.facebook.com/groups/2600Thailand/permalink/221691717990864/