// //

ثغرة الفيس بوك 2013

انقر هنا لمشاركة المقالة على الفيس بوك

ثغرة النشر على حائط اي شخص على الفيس بوك حتى لو لم يكن الشخص من ضمن اصدقائك و مغلق خاصية النشر على حائطه شهر 8 لسنة 2013 .


الاسم  : خليل شريتح .  

العنوان : يطا – الخليل \ فلسطين
المهنة : عاطل عن العمل بسبب الواسطات الي ماكلة الاخضر و اليابس :/
صفحتي على الفيس بوك : https://www.facebook.com/khalil.shr 


 قبل عدة ايام تمكنت من التوصل الى ثغرة في برمجية الفيس بوك تمكن مستخدمها من النشر على حائط (بروفايل ) اي مستخدم للفيس بوك حتى لو كان ذلك الشخص هو مارك زوكربرج نفسه .
في نفس اليوم قمت بالتبليغ عن الثغرة عبر صفحة تبليغ الفيس بوك لـ whitehat -- www.facebook.com/whitehat
هذا نص الرسالة التي قمت بارسالها تتضمن الرد الذي حصلت عليه بعد 24 ساعة : -


Hi Ḱhalil,
I dont see anything when I click link except an error.
Thanks,

Emrakul
Security
Facebook

-----Original Message to Facebook-----
From: kha****@hotmail.com
To:
Subject: post to facebook users wall .

Name: Ḱhalil
E-Mail: khal****@hotmail.com
Type: privacy
Scope: www
Description: dear facebook team .

my name is khalil shreateh.
i finished school with B.A degree in Infromation Systems .

i would like to report a bug in your main site (www.facebook.com) which i discovered it .

repro:
the bug allow facebook users to share links to other facebook users , i tested it on sarah.goodin wall and i got success post
link - > https://www.facebook.com/10151857333098885
-----End Original Message to Facebook-----

باختصار كتبت اليهم شرح عن الثغرة كما انني قمت بارسال لهم رابط منشور قمت بنشره على حائط سارة جودين , وهي فتاة كانت على علاقة مع مارك زوكربيرج  فترة دراستهم الجامعية . وهذه صورة تبين المنشور الذي قمت بنشره على حائط سارة.





رد شركة الفيس بوك كما توضح الرسالة السابقة كان  "مرحبا خليل : انا لا ارى شيئا عندما انقر على الرابط سواء خطأ " طبعا كما توضح الصورة فان المنشور مشترك فقط مع سارة جودين واصدقائها لذلك لا يستطيع هو رؤية المنشور وكان يجب عليه استخدام صلاحياته كموظف امن الفيس بوك . وهذا ما قمت باخباره عبر الرد على نفس الرسالة . كما اخبرته انني سوف اقوم بالنشر على حائط مارك زوكربج نفسه لكنني لا  اود ذلك من باب الاحترام كما توضح الصورة التالية :




تم تجاهل ما قمت بارساله , لذلك قمت بارسال تبليغ جديد
 وهذا نص الرسالة يتضمن رد الشركة : 




Hi Ḱhalil,

I am sorry this is not a bug.
Thanks,

Emrakul
Security
Facebook

-----Original Message to Facebook-----
From: khali***@hotmail.com
To: 
Subject: urgent : post to non friends facebook users wall . 
Name: Ḱhalil
E-Mail: kh***@hotmail.com
Type: privacy

Scope: www

Description: dear facebook team . 
my name is khalil shreateh. 
i finished school with B.A degree in Infromation Systems . 
i would like to report a bug in your main site (www.facebook.com) which i discovered. 
i'am reporting this bug for the second time.
repro:
the vulnerability allow's facebook users to share posts to non friends facebook users , i made a post to sarah.goodin timeline and i got success post 
link - > https://www.facebook.com/10151857333098885 
of course you may cant see the link because sarah's timeline friends posts shares only with her friends , you need to be a friend of her to see that post or you can use your own authority . 
this is a picture shows that post : 
https://fbcdn-sphotos-h-a.akamaihd.net/hphotos-ak-ash4/q71/s720x720/999429_10151857336258885_2061448780_n.jpg
-----End Original Message to Facebook-----

اخبرتهم بان حائط سارة  مشترك فقط مع اصدقائها , كما وضعت صورة تبين المنشور , ولكن كان ردهم " مرحبا خليل : هذه ليست مشكلة برمجية " . ردي كان انني لا املك خيارا الان سوا النشر على حائط مارك حتى يرى الجميع ذلك .



بالفعل قمت بالنشر على حائط مارك زوكربج , وهذه الصور توضح المنشور وما قمت بنشره







كتبت اليه مباشرة عن الثغرة و التبليغات التي ارسلتها و ارفقت اليه نص اخر رسالة بيني وبين موظفي امان الفيس بوك , كان كل تبليغ يأخذ 24 ساعة على الاقل ليتم الرد عليه , و الدهشة كانت بعد بضع دقائق فقط من نشري على حائط مارك , تلقيت تعليق على صفحتي من Ola Okelola        وهو مختص هندسة برمجيات في شركة الفيس بوك :




يمكنكم مشاهدة التعليق وما قام بكتابته على هذا الرابط : https://www.facebook.com/10151865722018885
طلب مني ارسال كافة تفاصيل الثغرة على ايميله , اخبرته انني لا اثق بك ويجب ان ترسل الي من حساب امان الفيس بوك حتى اتاكد .
لم تمضي سوا دقيقة واحده فقط , ليتم " تعطيل " حسابي الشخصي بداعي ان الفيس بوك يملك صلاحية تعطيل حساب اي شخص بدون ذكر اسباب .
قمت بارسال تبليغ ثالث لشركة الفيس بوك مطالبا اياهم بارجاع حسابي باسرق وقت ممكن وفيه بعض تفاصيل ما حدث وهذا نص الرسالة و نص رد شركة الفيس بوك :

Dear Khalil,

Facebook disabled your account as a precaution. When we discovered your activity we did not fully know what was happening. Unfortunately your report to our Whitehat system did not have enough technical information for us to take action on it. We cannot respond to reports which do not contain enough detail to allow us to reproduce an issue. When you submit reports in the future, we ask you to please include enough detail to repeat your actions.

We are unfortunately not able to pay you for this vulnerability because your actions violated our Terms of Service. We do hope, however, that you continue to work with us to find vulnerabilities in the site.

We have now re-enabled your Facebook account.

Joshua
Security Engineer
Facebook
-----Original Message to Facebook-----
From: khalil1828@hotmail.com
To: 
Subject: bypass facebook posts to timeline privacy

Name: Khalil Khalil
E-Mail: khalil1828@hotmail.com
Type: privacy
Scope: www
Description: ok , this is the third time i report this bug , 

i know that you guys now know that it’s a bug for sure after 
facebook.com/ola deactivate my account which is facebook.com/khalil.iz.sh

i want my account back soon as possible , as i report the bugs for you and i didnt use another fake accounts or test accounts to break privacy .

although my account contains important messages that some of my friends need them back .

https://fbcdn-sphotos-d-a.akamaihd.net/hphotos-ak-ash3/1174822_10200988067716575_1496625129_n.jpg

repro:

this the last post i made before " www.facebook.com/ola " deactivate my account ,
i had no choice after you guys replay twice back again to me that this is not a bug . 

https://fbcdn-sphotos-d-a.akamaihd.net/hphotos-ak-prn1/543398_10151865722018885_1202186069_n.jpg

-----End Original Message to Facebook-----



اخبروني بانهم لن يقوموا بدفع اي مبلغ مادي لانني انتهكت قوانين الفيس بوك , كما طلبوا مني الاستمرار في اكتشاف ثغرات جديدة و التبليغ عنها . < اشي اكيد لو اني من سكان امريكا او اوروبا كان قد حصلت على 4 الاف دولار <
قمت بتوجيه رد اليهم ولم يصلني اي رد مقابل لغاية الان . حيث اخبرتهم ان صفحة التبليغ تطلب اثبات للثغرة , ولا يمكن ارسال اثبات دون تطبيق الثغرة و ارفاق فيديو او صورة تبين ذلك . يمكنكم التاكد بالرجوع الى رابط التبليغ .

قمت بتسجيل هذا الفيديو يأكد الثغرة التي توصلت اليها , تسجيل الفيديو كان بشكل سريع نظرا لانه كان بعد فترة التبليغ الثاني وكان هناك احتمال كبير ان يتم اغلاقها في اي ثانية لذلك من الممكن ان تشاهد اخطاء املائية :



 

0 comments:

Post a Comment