السلام عليكم ورحمة الله وبركاته ثغرة النشر على حائط اي شخص على الفيس بوك حتى لو لم يكن الشخص من ضمن اصدقائك و مغلق خاصية النشر على حائطه شهر 8 لسنة 2013 . القصة كامله منقوله من مدونة المكتشف http://khalil-sh.blogspot.com/p/2013.html المكتشف اسم : خليل شريتح . العنوان : يطا – الخليل \ فلسطين المهنة : عاطل عن العمل بسبب الواسطات الي ماكلة الاخضر و اليابس :/ صفحتي على الفيس بوك : https://www.facebook.com/khalil.shr قبل عدة ايام تمكنت من التوصل الى ثغرة في برمجية الفيس بوك تمكن مستخدمها من النشر على حائط (بروفايل ) اي مستخدم للفيس بوك حتى لو كان ذلك الشخص هو مارك زوكربرج نفسه . في نفس اليوم قمت بالتبليغ عن الثغرة عبر صفحة تبليغ الفيس بوك لـ whitehat -- www.facebook.com/whitehat هذا نص الرسالة التي قمت بارسالها تتضمن الرد الذي حصلت عليه بعد 24 ساعة : - Hi Ḱhalil, I dont see anything when I click link except an error. Thanks, Emrakul Security Facebook -----Original Message to Facebook----- From: kha****@hotmail.com To: Subject: post to facebook users wall . Name: Ḱhalil E-Mail: khal****@hotmail.com Type: privacy Scope: www Description: dear facebook team . my name is khalil shreateh. i finished school with B.A degree in Infromation Systems . i would like to report a bug in your main site (www.facebook.com) which i discovered it . repro: the bug allow facebook users to share links to other facebook users , i tested it on sarah.goodin wall and i got success post link - > https://www.facebook.com/10151857333098885 -----End Original Message to Facebook----- باختصار كتبت اليهم شرح عن الثغرة كما انني قمت بارسال لهم رابط منشور قمت بنشره على حائط سارة جودين , وهي فتاة كانت على علاقة مع مارك زوكربيرج فترة دراستهم الجامعية . وهذه صورة تبين المنشور الذي قمت بنشره على حائط سارة. رد شركة الفيس بوك كما توضح الرسالة السابقة كان "مرحبا خليل : انا لا ارى شيئا عندما انقر على الرابط سواء خطأ " طبعا كما توضح الصورة فان المنشور مشترك فقط مع سارة جودين واصدقائها لذلك لا يستطيع هو رؤية المنشور وكان يجب عليه استخدام صلاحياته كموظف امن الفيس بوك . وهذا ما قمت باخباره عبر الرد على نفس الرسالة . كما اخبرته انني سوف اقوم بالنشر على حائط مارك زوكربج نفسه لكنني لا اود ذلك من باب الاحترام كما توضح الصورة التالية : تم تجاهل ما قمت بارساله , لذلك قمت بارسال تبليغ جديد وهذا نص الرسالة يتضمن رد الشركة : Hi Ḱhalil, I am sorry this is not a bug. Thanks, Emrakul Security Facebook -----Original Message to Facebook----- From: khali***@hotmail.com To: Subject: urgent : post to non friends facebook users wall . Name: Ḱhalil E-Mail: kh***@hotmail.com Type: privacy Scope: www Description: dear facebook team . my name is khalil shreateh. i finished school with B.A degree in Infromation Systems . i would like to report a bug in your main site (www.facebook.com) which i discovered. i'am reporting this bug for the second time. repro: the vulnerability allow's facebook users to share posts to non friends facebook users , i made a post to sarah.goodin timeline and i got success post link - > https://www.facebook.com/10151857333098885 of course you may cant see the link because sarah's timeline friends posts shares only with her friends , you need to be a friend of her to see that post or you can use your own authority . this is a picture shows that post : https://fbcdn-sphotos-h-a.akamaihd.n...61448780_n.jpg -----End Original Message to Facebook----- اخبرتهم بان حائط سارة مشترك فقط مع اصدقائها , كما وضعت صورة تبين المنشور , ولكن كان ردهم " مرحبا خليل : هذه ليست مشكلة برمجية " . ردي كان انني لا املك خيارا الان سوا النشر على حائط مارك حتى يرى الجميع ذلك . بالفعل قمت بالنشر على حائط مارك زوكربج , وهذه الصور توضح المنشور وما قمت بنشره كتبت اليه مباشرة عن الثغرة و التبليغات التي ارسلتها و ارفقت اليه نص اخر رسالة بيني وبين موظفي امان الفيس بوك , كان كل تبليغ يأخذ 24 ساعة على الاقل ليتم الرد عليه , و الدهشة كانت بعد بضع دقائق فقط من نشري على حائط مارك , تلقيت تعليق على صفحتي من Ola Okelola وهو مختص هندسة برمجيات في شركة الفيس بوك : يمكنكم مشاهدة التعليق وما قام بكتابته على هذا الرابط : https://www.facebook.com/10151865722018885 طلب مني ارسال كافة تفاصيل الثغرة على ايميله , اخبرته انني لا اثق بك ويجب ان ترسل الي من حساب امان الفيس بوك حتى اتاكد . لم تمضي سوا دقيقة واحده فقط , ليتم " تعطيل " حسابي الشخصي بداعي ان الفيس بوك يملك صلاحية تعطيل حساب اي شخص بدون ذكر اسباب . قمت بارسال تبليغ ثالث لشركة الفيس بوك مطالبا اياهم بارجاع حسابي باسرق وقت ممكن وفيه بعض تفاصيل ما حدث وهذا نص الرسالة و نص رد شركة الفيس بوك : Dear Khalil, Facebook disabled your account as a precaution. When we discovered your activity we did not fully know what was happening. Unfortunately your report to our Whitehat system did not have enough technical information for us to take action on it. We cannot respond to reports which do not contain enough detail to allow us to reproduce an issue. When you submit reports in the future, we ask you to please include enough detail to repeat your actions. We are unfortunately not able to pay you for this vulnerability because your actions violated our Terms of Service. We do hope, however, that you continue to work with us to find vulnerabilities in the site. We have now re-enabled your Facebook account. Joshua Security Engineer Facebook -----Original Message to Facebook----- From: [email protected] To: Subject: bypass facebook posts to timeline privacy Name: Khalil Khalil E-Mail: [email protected] Type: privacy Scope: www Description: ok , this is the third time i report this bug , i know that you guys now know that it’s a bug for sure after facebook.com/ola deactivate my account which is facebook.com/khalil.iz.sh i want my account back soon as possible , as i report the bugs for you and i didnt use another fake accounts or test accounts to break privacy . although my account contains important messages that some of my friends need them back . https://fbcdn-sphotos-d-a.akamaihd.n...96625129_n.jpg repro: this the last post i made before " www.facebook.com/ola " deactivate my account , i had no choice after you guys replay twice back again to me that this is not a bug . https://fbcdn-sphotos-d-a.akamaihd.n...02186069_n.jpg -----End Original Message to Facebook----- اخبروني بانهم لن يقوموا بدفع اي مبلغ مادي لانني انتهكت قوانين الفيس بوك , كما طلبوا مني الاستمرار في اكتشاف ثغرات جديدة و التبليغ عنها . < اشي اكيد لو اني من سكان امريكا او اوروبا كان قد حصلت على 4 الاف دولار < قمت بتوجيه رد اليهم ولم يصلني اي رد مقابل لغاية الان . حيث اخبرتهم ان صفحة التبليغ تطلب اثبات للثغرة , ولا يمكن ارسال اثبات دون تطبيق الثغرة و ارفاق فيديو او صورة تبين ذلك . يمكنكم التاكد بالرجوع الى رابط التبليغ . قمت بتسجيل هذا الفيديو يأكد الثغرة التي توصلت اليها , تسجيل الفيديو كان بشكل سريع نظرا لانه كان بعد فترة التبليغ الثاني وكان هناك احتمال كبير ان يتم اغلاقها في اي ثانية لذلك من الممكن ان تشاهد اخطاء املائية : لينك الفيديو على اليوتيوب http://www.youtube.com/watch?v=F9J8U9ZpEnw
˙·٠•● SƲƤЄَƦ_HAƈƈƈُƈƇƇcƘЄَƦ ●•٠ عذرا على عدم الرد على البعض والدخول النادر اوالمتقطع لا اسالكم الا دعوة بالتوافيق فى الامتحانات سامحونى جميعا ·˙ ..
للأسف تم إغلاق الثغرة .....
عـندمـا تتـكلـم العـمالقـة ! ليـس عـلـى الأقـزام إلا الـصـمـت ! نحن من نكتب [ الروآيآت] ونحن من ندعس [ الحمآيآت ] فإن رأيت الحمآيآت [ خآضعه ] وممرآت السيرفرآت [ هآدئه ] فعلم أن الوقت قد [ حآن ] وسترى مآليس [ بالحسبآن ] وستتأكد أن فريقك الأمني قد وقعوآ فــي ( مزبلة التآريخ ) |N!CE.K!LLER | Palestinian hAcker | it's 0nly The Beginning | I Will Never Stop Hacking | Its not a game | It's My Job
المشاركة الأصلية كتبت بواسطة nice.killer للأسف تم إغلاق الثغرة ..... صح تمام اغلاق الثغرة بعد ما نشر البوست على حساب مارك وقفلو حسابو علشان فلسطينى عربى مش دفعو ليه فلوس
مشكوور يا غالي
شكراااااااااااااااااااااا ااااااااااااااااااااااااا ااااااااااااااااااااااااا ا
أخي كان قمت بنشر الثغرة في المنتدى أحسن
والله تحياتي لك اخي ولكل عربي حر مسلم
مشكور بارك الله فيك بس لو انا مكانك ما ببلغ عن الثغرة لانهم اكيد راح يرقعوها وبحاول استفيد منها
تبسم واترك جروحك على جنب الزمن وارتاح حرام تطيح من عينك على شان الزمن دمعه كن في الحياة عابر سبيل واترك ورائك كل اثر جميل فما نحن في الدنيا الا ضيوف وما على الضيف الا الرحيل
المشاركة الأصلية كتبت بواسطة super_haker2002 صح تمام اغلاق الثغرة بعد ما نشر البوست على حساب مارك وقفلو حسابو علشان فلسطينى عربى مش دفعو ليه فلوس مكتشف الثغرة جمعوله تبرعات اكثر من 10 الاف دولار
Do not challenge someone who has nothing to lose We are Anonymous We are Legion We do not forgive We do not forget Expect us
للاسف تم غلق تغرة
قوانين المنتدى