Espiando fotos de extraños en Facebook: “FQL”
Por Luciano Laporta Podazza el 01/04/2009, en Seguridad
Nadando por la red me encontre con algo interesante:
Facebook te permite desarrollar aplicaciones de todo tipo, quizes, juegos, etc. Pero para ello los programadores de las mismas cuentan con una API que facebook ofrece para el cometido.
Aqui es donde entra en juego el “set de herramientas” que disponemos dentro de esa API.
Sin dar mas vueltas ya que no es un curso de desarrollo de apps para facebook(y tampoco pretende serlo) vamos al punto:
¿Cuantas veces quisimos ver fotos de alguien que no nos acepto todavia(y tal vez nunca lo haga) y no podemos hacerlo sin su autorización?
Bueno, he aqui la solución paso a paso:
1).- Entramos a: http://developers.facebook.com/tools.php
2).- En la interfaz que nos aparece vamos al menu desplegable y de ahi a “fql.query”.
3).- Abajo del menu desplegable encontraremos un text box para escribir la sentencia(consulta) a la base de datos. Ahi ponemos:
SELECT location, link
FROM album
WHERE owner=xxxxxxxxxx
Donde xxxxxxxxx es el id del usuario que queramos ver sus fotos sin ser siquiera su amigo. Apretamos enter y en el text box de a la par nos aparecera el resultado en formato xml, pero no le presten atecion a eso, lo unico que deben hacer es copiar la direccion que les aparece ahi y pegarla en la barra de direcciones de su navegador y…. ¡voilá! podrán ver las fotos, etiquetarlas, etc. Sin ningun consentimiento de esa persona.
Pongamos un ejemplo:
Digamos que quiero ver las fotos de “Armando Esteban Quito” pero no se cual es su id, para ello lo busco y nos fijamos en el link para agregarlo como amigo, veremos una direccion de este tipo:
http://www.facebook.com/addfriend.php?id=1248683076 (este es un id al azar pero funciona )
Como podemos observar la variable id contiene el numero de la “victima”, en este caso es 1248683076.
Entonces nos vamos a: http://developers.facebook.com/tools.php
Escribimos la sentencia fql:
SELECT location, link
FROM album
WHERE owner=1248683076
Notese que agregamos en la variable owner el id del individuo. De esta manera nos devolverá en el resultado la url(direccion web) para ver las fotos del susodicho, en este caso:
http://www.facebook.com/album.php?aid=2008319&id=1248683076
En este caso la variable aid (album id) es el identificador del album de esa persona, si pueden observar en los resultados de la consulta puede haber mas de un aid, los cuales serian los albumes de la persona en cuestion.
Debo aclarar que este “bug” no lo descubri yo sino un usuario llamado Tryptophan. Sin mas que decir espero sus comentarios.
P.D.: Disfruten de esto mientras dure y no se abusen 
[adsense]
31 Comments for this entry
-
Bienvenidos al Blog de Hack-IT!
Aquí podrán encontrar todo lo relevante sobre seguridad informática, artículos, noticias, tutoriales, etc. Espero les sea de su agrado y comenten en los posts!.
Cualquier inquietud que tengan pueden enviarnos un mensaje a los mails en el enlace de Contacto en el menu de arriba. Saludos!!!Podes suscribirte a las noticias también por mail:
Lista de correo de Hack-IT
Registrate y comenza a formar parte de una comunidad de hackers que desean compartir conocimiento, ideas, hacer reuniones y pasar un buen rato haciendo amigos, hacklabs y mucho más!!!.
Suscribirte a Hack-IT
Consultar este grupoSeguinos en Twitter e Identi.ca
Feeds
April 3rd, 2009 on 10:39
No funciona amigo…
April 3rd, 2009 on 22:15
Hola Infiltrado, si funciona, decime que es lo que estas haciendo asi pueda ayudarte. Saludos
April 10th, 2009 on 20:42
Si no tienen albun, puede ser que no funcione? Con algunos id funciona con otros no
April 13th, 2009 on 3:40
es verdad funciona, pero con algunos albunes, por ejemplo queria ver los albunes de una poersona que se quetiene como 5 o 6 albunes pero me muestra solo 2. Porque sera?
Saludos, muy bueno
April 13th, 2009 on 21:11
Hola….
sabes que he intentado lo que me mencionas,pero saltandome ese paso de fql,y me generan todas las direcciones,pero al momento de ir a ellas me aparece como contenido no disponible,que estará ocurriendo?,ya no funciona dicho asunto?…
Agradeceria me respondieras please….
Saludos y exitos
April 14th, 2009 on 4:13
holas si funciona!, el unico problema q no indican es que el formato de respuesta debe estar en “Facebook PHP cliente“ y luego lo demas esta correcto, espero poder ayudar a los demas saludos…
April 14th, 2009 on 15:08
Si funciona, si se fijan en las direcciones de albumes que extrae, hay una parte de la dirección que dice:
http://www.facebook.com/album.php?aid=2009103&id=1248683076
Les da error de “contenido no disponible” porque tienen que borrar el “amp;” en la direccion, por eso les da el error.
Saludos
April 20th, 2009 on 23:35
Muy bueno!! y funciona.
Una pregunta: puede llegar a generar algún tipo de problema todo esto?
April 23rd, 2009 on 13:33
Funcionar funciona pero los albums que se puede llegar a ver son los que el usuario ha puesto como públicos. Esto es que los albums privados no se pueden ver.
April 25th, 2009 on 12:10
pero como consigo el id? porque le doy a agregar amigo pero no veo esa direccion.. ayuda!
April 25th, 2009 on 12:41
vale ya esta solucionado..pero aun asi no se ven todos los albumes..hay alguna forma de verlos?
April 28th, 2009 on 16:55
excelente amigo… funciona!! Sos un fenomeno!
April 28th, 2009 on 17:19
se puede ademas de albumnes ver el muro o el perfil? Se podria cambiar algun comando para ver esto?
April 28th, 2009 on 22:40
Alguna forma de ver albumes privados? O igual que Juan, poder ver el perfil si es privado?
En algunos funciona, en otros me sale error de “contenido no disponible”
En tu comentario “…tienen que borrar el “amp;” en la direccion… el amp es el &?
Gracias.
April 30th, 2009 on 14:06
a mi también me gustaría saber si se puede ver algo más q los albumes?
aunque así está más q perfecto,
funciona de maravilla!
me gustaría ver las fotos q pone de perfil.. y su info
May 1st, 2009 on 18:32
Si, el “amp;” es el &.
Saludos!
May 1st, 2009 on 22:16
Heeyy!
Me ayudan esque ya entro y me sale que no se puede ver.. Me ayudan a resolverlo?
Gracias y Saludos
May 1st, 2009 on 22:23
hey please me ayudas! esque quiero ver un perfil, lo pongo toodo pero al colocar el link que me dan me sale que esta como restringiida o algo parecido. Le borre el amp; pero aun no me funciona.. pq? me ayudas please?
Graciias
JoJo.
May 5th, 2009 on 1:48
No tenes que borrar el amp; sino reemplazarlo por “&” (sin las comillas) eso es todo. Saludos
May 13th, 2009 on 23:39
Funciona perfecto, ya he visto varias fotos prohibidas
May 15th, 2009 on 23:13
Como se debe hacer para ver las fotos que el usuario catalogo como “solo amigos pueden ver estas fotos”?
espero su ayuda! y gracias por todo!
May 18th, 2009 on 7:31
como puedo ver un tagged privado?
May 19th, 2009 on 16:45
Funciona de Maravilla, gracias por el aporte… Tryptophan y Luciano
May 22nd, 2009 on 2:55
Solo sirve para las fotos que son marcadas como publicas.
May 22nd, 2009 on 21:36
no se como haceeer!! probe todo lo que dijeron pero no me lo abre! me dico o que no tengo acceso a esos contenidos o bien me abre mi pagina de inicio!! sera que no tiene ningun album como publico??? por favorrrr ayudaaa!!
May 22nd, 2009 on 21:47
LO LOGREEEE!! JAJAJAJAJAJ BIENNNN!!
HABIA QUE SACAR TAMBIEN EL “;” JEJEJJE
May 22nd, 2009 on 22:04
hola!me gustaria saber como puedo hacer para ver el id de la persona porque lo intente de muchas maneras y me es imposible.
May 23rd, 2009 on 14:19
Cuando pasas el mouse por el link para agregar un amigo, abajo a la izquierda (barra de estado de tu navegador) te aparece algo como http://www.facebook.com/addfriend.php?id=1248683076, y el numero que esta despues de “id=” es el id de la persona. Saludos!
May 25th, 2009 on 18:51
no puedo solo se ven unas pocas u_u
http://www.facebook.com/album.php?aid=79521&id=563663157
me da esto que tengo que hacerle?
May 25th, 2009 on 19:20
Pau, no entiendo cual es el problema, visite ese link y vi las fotos de esa chica. Saludos
May 26th, 2009 on 2:48
No se pueden ver las fotos de cualquiera. solo se pueden ver las fotos de los album’s de los usuarios de facebook que permiten que cualquier usuario pueda verla, esto se configura en la privacidad de los album’s y para que nadie que no sea tu amigo vea las fotos solo debes configurar el album y seleccionar la opcion de mostrarsela solo a tus amigos, tambien puedes poner exepciones y varias cosas más.