Merhaba arkadaşlar, bu gece siz değerli okuyucularıma Facebook üzerindeki bir SQL Injection metodundan bahsedeceğim. Öncelikle şunu belirteyim. Bu açıklığı tespit eden Jester isimli hacker Facebook’a birkaç gün önce bildirdi ve açıklık kapatıldı. Videoda da görebileceğiniz gibi açıklık için “Tamper Data” kullanılmış.
Tamper Data pasif olarak arka planda çalışırken şifre güncelleme, profil güncelleme, sayfa güncelleme gibi birçok bilgiyi denemiş. En sonunda Tamper Data verilerini inceleyerek gönderilen post değerlerini kontrol ediyor. Fark ettiği açıklık ise üye gizlilik bilgilerini güncellerken tüm değerleri kontrol edip _user değerinde açık olduğunu keşfetmesi…
Açıklığı keşfettikten sonra Jester lakaplı hacker nasıl bir database sistemi ile karşı karşıya olduğunu bilmediği için “MySQL at Facebook” sayfasına bilgi amaçlı facebook veritabanı olarak mysql mi kullanıyor diye bir mesaj atıyor ve bu mesajın cevabı “Yes, our userdata (and this comment) are stored in MySQL” oluyor 🙂 ve Hacker hedef açık ile ilgili bilgiyi almış gibi gözüküyor 🙂
Aynı işlemi tekrarlayarak Tamper Data’yı aktif ediyor ve update işlemini yapıyor. Post olarak gönderilen _user değerine “and 1=0” eklediği zaman “Database Down Sorry, a temporary error has occurred. Please try again.” mesajı karşısına çıkıyor. Yine aynı şekilde _user değerine “and 1=1” eklediği zaman güncelleme işlemi başarı ile yapılıyor.
İlk olarak MySQL sürümü için aynı sorgu üzerinde “[USERID] and substring(@@version,1,1)=4” sorgusunu gondererek “MySQL version 4’e eşit mi?” sorusuna cevap arıyor. Ancak MySQL versiyonu 4’e eşit olmadığı için sayfa hata veriyor. Aynı işlemi tekrarlayıp “[USERID] and substring(@@version,1,1)=5” sorgusunu gondererek “MySQL version 5’e eşit mi?” diye kontrol ettiğinde, sorguyu gönderdiği zaman sayfa güncelleme işlemi yine başarılı olarak yapılmakta.
Jester bu açıklığı Facebook’a hemen bildirmiş. Sonuç olarak Jester’e Facebook üzerinden bir geri dönüş olmamış fakat açıklık hemen ertesi gün yamanarak kapatılmış durumda. Şuan bu açıklık çalışmıyor. Bu yüzden gönül rahatlığı ile Jester forumlarda ve diğer sitelerde bir video çekerek yayınladığını söylemekte. Videoyu izlemek için ise aşağıdaki bağlantıya bakmanız yeterli…
facebooktan gerı donus olmaması cok üzücü bir nokta.
facebook white hat lara açık başı 500 dolar veriyo. Nası iletişime geçmemişler…