Pendahuluan

Tutorial ringan kali ini akan membahas mengenai facebook graph API yang digunakan oleh kebanyakan aplikasi untuk berkomunikasi dengan objek yang ada pada facebook. Secara sederhana, kali ini kita akan membuat seolah-olah kita menggunakan aplikasi tertentu untuk membuat posting pada facebook, misalnya Blackberry. Jadi status update kita nantinya akan terlihat "via Blackberry".


Langkah-langkah

  • Pertama, cari ID aplikasi yang kita inginkan, caranya adalah dengan menggunakan dork berikut ini pada google

inurl:"http://www.facebook.com/apps/application.php?id="

  • Setelah menemukan ID aplikasi yang kita inginkan, misalnya ID untuk Blackberry adalah 2254487659 maka kita akan memasukkan ID tersebut pada URL berikut (ganti bagian _ID_APLIKASI_). Selain itu, kita hanya menggunakan 2 bagian "permission" pada parameter "scope". Untuk daftar lengkap dari permission, bisa dilihat pada https://developers.facebook.com/docs/reference/api/permissions/

https://graph.facebook.com/oauth/authorize?client_id=_ID_APLIKASI_&redirect_uri=http://www.facebook.com/connect/login_success.html&scope=publish_stream,offline_access&response_type=token

  • Contoh penggunaan dari langkah di atas adalah sebagai berikut:

https://graph.facebook.com/oauth/authorize?client_id=2254487659&redirect_uri=http://www.facebook.com/connect/login_success.html&scope=publish_stream,offline_access&response_type=token

  • Copy dan paste link di atas pada browser, dan jika perlu nanti ada permintaan untuk meng-approve aplikasinya. Setelah di-approve, maka akan ada tulisan "Success" pada web browser dan pada bagian web address akan ada link seperti ini:

https://www.facebook.com/connect/login_success.html?access_token=_ACCESS_TOKEN_&expires_in=86886

  • Nah, bagian _ACCESS_TOKEN_ ini yang kita butuhkan untuk melakukan posting ke facebook. Jika diperhatikan, pada link di atas, parameter "expires_in" nilainya bukan 0 yang berarti access tokennya harus direquest lagi jika sudah expired. Ada beberapa aplikasi yang nilai "expires_in" adalah 0, artinya access_tokennya bisa digunakan berulang-ulang tanpa harus membuat request lagi. Untuk meng-update status, kita bisa menggunakan perintah ini di terminal:

curl -F 'access_token=_ACCESS_TOKEN_' -F 'message=_STATUS_' https://graph.facebook.com/me/feed

  • Pada contoh di atas, kita mengganti _ACCESS_TOKEN_ sesuai dengan access_token yang diperoleh dari langkah sebelumnya. Sedangkan _STATUS_ adalah status update yang akan kita tampilkan di wall.

  • Untuk melakukan posting ke wall seseorang atau ke group, kita cukup mengganti url graph facebook dengan ID / nama orang yang wallnya ingin kita tulisi, misalnya untuk posting ke group RNDC:

curl -F 'access_token=_ACCESS_TOKEN_' -F 'message=_STATUS_' https://graph.facebook.com/203523726370149/feed

  • Untuk posting link, kita tinggal menambahkan parameter "link" seperti ini:

curl -F 'access_token=_ACCESS_TOKEN_' -F 'link=_LINKNYA_DI_SINI_' -F 'message=_STATUS_' https://graph.facebook.com/203523726370149/feed


Penutup

Dengan memanfaatkan fitur facebook graph API, kita bisa membuat backdoor pada akun seseorang yang sudah kita takeover. Caranya adalah dengan menggunakan aplikasi yang bisa menggunakan scope "offline_access" sehingga kita cukup sekali saja me-request token.

Sekian tutorial singkat kali ini, semoga bermanfaat. Terima kasih kepada Tuhan Yang Maha Esa dan Anda yang telah membaca tutorial singkat ini.