Blog gratis
Reportar
Editar
¡Crea tu blog!
Compartir
¡Sorpréndeme!
Blog de la Escuela de Educación Secundaria Técnica N 8 de Quilmes
Administrador Prof. Claudio Enrique Alonso Alvite
img
11 de Abril, 2014    General

Método de Link Redirect en Facebook con Facebook Apps

Una vulnerabilidad de Link Redirect dentro de una red social puede ser un fallo de seguridad que afecte seriamente a la privacidad de los usuarios. Supuestamente, cuando una persona hace clic en un enlace publicado en Facebook, lo hace confiado en que va a visitar el sitio que aparece en el hipervícunlo.

Facebook avisa si ese enlace está fuera de su red para que el usuario que ha hecho clic tome precauciones y asuma que puede ser un sitio malicioso fuera de la red que registre su dirección IP, lance algún exploit contra su navegador o simplemente pretenda robar las credenciales de Facebook con un Phishing.

Es por eso que los equipos de seguridad de Facebook cierran todos los Link Redirect que van apareciendo, como el que publiqué en el blog hace no mucho que era un Redirect en Facebook para hacer Phishing a Facebook pero que ya no es funcional en las nuevas versiones de la red social.

Sin embargo, los fallos de seguridad aparecen y desaparecen constantemente y Androw Mauricio ha propuesto este método para conseguir publicar un enlace con la dirección de cualquier sitio, por ejemplo www.facebook.com, y que el hipervínculo realmente lleve a otro servidor. Este es el método paso a paso para que lo puedas replicar.

Saludos Malignos!

Link Redirection en Facebook a través FacebookApps por Androw Mauricio

Paso 1: Registrarte en https://developers.facebook.com/, para que puedas crear una App con tu cuenta de Facebook.

Figura 1: Web de developers en Facebook 

Paso 2: Regístrate en https://id.heroku.com/signup, Necesitamos una plataforma en la nube que soporte gran variedad de lenguajes y nos dé la posibilidad de usar el protocolo SSL para la integración de nuestra App a Facebook, y Heroku es la mejor opción si no posees servidor propio.

Figura 2: Registro en el servicio de Heroku

Paso 3: Descarguemos Heroku + Git Bash . Como se puede ver Heroku es multiplataforma así que no importa el sistema operativo que uses que de igual manera podrás instalarlo.

Figura 3: Descarga de Heroku toolbelt

Paso 4: Al ya estar registrado en Facebook Developers, ya podrás empezar a crear aplicaciones, entonces comencemos y creamos una aplicación.

Figura 4: Creación de una Facebook App

Es importante que tengamos cuidado con el App Secret, ya que pueden suplantar nuestra aplicación de alguna manera, esto es un tutorial de como se hace, terminado el tutorial se procederá a borrar esta aplicación.

Figura 5: Creación de la App. Nombre, namespace y categoría de la App.

Paso 5: Abrimos Git Bash, e iniciamos sesión con los datos de Heroku, con el siguiente comando: heroku login. Luego pasaremos a crear una app dentro de Heroku, ejecutamos el siguiente comando: heroku create

Figura 6: Login en Heroku
Luego de crear la App, heroku nos muestra nuestro el enlace de ingreso, y el git para copiar la App a nuestro equipo local, y así manipularla con comodidad.

Paso 6: Copiar la App creada a nuestro equipos usando el siguiente comando git clone más el git de nuestra App. Esto quedaría tal que así: git clone git@heroku.com:salty-headland-2759.git

Luego de creada, ingresamos a la carpeta - que en este caso tendrá el mismo nombre de la aplicación - y le otorgamos la conexión remota con Heroku con el comando git remote add heroku más el git de nuestra App. Esto quedaría entonces tal que así:  git remote add heroku git@heroku.com:salty-headland-2759.git

Figura 7: Clonación y Conexión con Heroku de la App en git

Paso 7: Bajamos el SDK de Facebook, en este caso de PHP, y copiamos la carpeta /src a nuestra aplicación. Luego creamos un archivo index.php, donde pondremos la ruta de la carpeta src, y nuestros datos de la App de Facebook, como son el AppId y AppSecret.

Figura 8: Creando el fichero index.php de nuestra Facebook App

Paso 8: Configuramos los datos obtenidos de nuestra App en Heroku en nuestra plataforma de Facebook Developers en los campos :
  • App Domains
  • Dirección web de la aplicación en Facebook
  • Secure Canvas URL
  • Site URL
Llenamos todos los campos posibles como el correo o información de la App, para que luego no tengas que hacerlo, pero los campos más importantes fueron los anteriormente mencionados.

Figura 9: Datos de la App de Facebook

Si todo lo configuramos bien ya nuestra App puede abrirse en Facebook, con el enlace de Pagina principal de la aplicación, en mi caso será este https://apps.facebook.com/635516806517447/. Puedes mirar el tuyo en tu configuración.

Figura 10: Nueva App de Facebook creada

Paso 9: Ahora ya pueden usar el ejemplo de Facebook Post Links Using the Graph API, para integrarlo en su App.

Figura 11: Publicar enlaces usando la Graph API

Este código permite publicar a través de una Facebook App, en los muros propios o en páginas de Facebook. ¿Cómo se logra hacer una redirección a otra pagina? Como pueden observar se crea otra función en ese mismo código y se cambia el orden en el cual se llaman las variables para ser publicadas, esto permite que alguien publique un enlace a www.facebook.com, que realmente nos dirija a cualquier otra página, en este caso www.google.com. 

Figura 12: Publicación del enlace con la redirección cambiada

Paso 10: Subir nuestra App a Heroku. Para esto vamos a usar 3 comandos simples, dos verifican y uno sube la App.
1- git add -A
2- git commit -am "mensaje de subida"
3- git push heroku master
Procedemos a subir nuestra aplicación recuerden estar dentro de su carpeta.

Figura 13: Subida de la App a Heroku

Paso 11: Por último abrimos nuestra aplicación y publicamos lo que deseemos. Luego, al mirar el resultado se puede ver como efectivamente nos direccionará a otro dominio que no es el mostrado en el hipervínculo que apunta a Facebook.

Figura 14: Redirección de Facebook que apunta a Google

Estos fue todo, demostrando una vez más que métodos siempre habrán muchos, Saludos!

Autor: Androw Mauricio
Facebook : https://www.fb.com/XxAnDrOwxX
Fuente http://www.elladodelmal.com/2014/04/nuevo-open-redirect-en-facebook-traves.html
De Cema Alonso
Palabras claves , , ,
publicado por alonsoclaudio a las 09:34 · Sin comentarios  ·  Recomendar
 
Más sobre este tema ·  Participar
Comentarios (0) ·  Enviar comentario
Enviar comentario

Nombre:

E-Mail (no será publicado):

Sitio Web (opcional):

Recordar mis datos.
Escriba el código que visualiza en la imagen Escriba el código [Regenerar]:
Formato de texto permitido: <b>Negrita</b>, <i>Cursiva</i>, <u>Subrayado</u>,
<li>· Lista</li>
CALENDARIO
Ver mes anterior Diciembre 2022 Ver mes siguiente
DOLUMAMIJUVISA
123
45678910
11121314151617
18192021222324
25262728293031
BUSCADOR
Blog   Web
TÓPICOS
» General (2606)
NUBE DE TAGS  [?]
SECCIONES
» Inicio
ENLACES
MÁS LEÍDOS
» Analizando el LiveBox 2.1 de Orange
» Cómo espiar WhatsApp
» Cómo usar Metashield protector for Client y por qué utilizarlo
» Detectando tráfico de conexiones HTTP inversas de Meterpreter (Snort)
» Ejecución remota de código arbitrario en OpenSSH
» Ganar dinero con 1.200 Millones de identidades robadas
» Hardware y sus 4 Funcionamientos Basicos y Principales en una Computadora
» Redes de la Deep Web: CJDNS y la Red Hyperboria
» Unidad Central de Procesamiento CPU
» Wassap, la aplicación que permite usar WhatsApp desde la PC
SE COMENTA...
» Cómo espiar WhatsApp
593 Comentarios: Jarlinson mercy, jarlinson mercy, TIFFANY MURRAY, [...] ...
» Qué hacer ante el robo de un teléfono móvil o una tableta
2 Comentarios: best buy security cameras swann, best buy security cameras swann
» Espiando usuarios gracias a la vulnerabilidad en cámaras TRENDnet
1 Comentario: Coin
» Recopilatorio de aplicaciones y sistemas vulnerables para practicar
2 Comentarios: vera rodrigez ...
» SoftPerfect WiFi Guard permite saber quién esta conectado a mi WiFi
2 Comentarios: firdous ...
SOBRE MÍ
FOTO

Prof. Claudio Enrique Alonso Alvite



» Ver perfil

AL MARGEN
Escuela de Educacion Secundaria Tecnica N 8 de Quilmes
(Técnicos en Informática Personal y Profesional)
FULLServices Network | Blogger | Privacidad