Una de las cosas que están cambiando en el mundo de Internet actual es el nuevo sistema de vigilancia. Antes te preocupaba que alguien se metiera en tu ordenador y supiera lo que tienes y lo que hacías dentro de él y toda la cantidad de “manteca de la buena” que atesoras. Hoy en día te vigilan fuera. A dónde vas, con quien te juntas, que porno te bajas, que te interesa, quién te habló de algo. Los sistemas de referencia en los links, las variables de sesión que se cruzan página a página, las estadísticas de todo y sobre todo.
Esto permite que una web tenga información sobre quienes la visitan, como han llegado a ella, dónde la descubrieron y cuáles son las tendencias de sus visitantes.
Una de las técnicas que se impuso es la denominada Clickthrough, o como decimos en bronxtoles, el “cliczrú”. La idea es saber que gente ha pulsado en uno de los links que se ofrecen. De esta manera, el lector de una web/newsletter que quiere navegar a uno de los links tiene que hacerlo a través de una lanzadera en la web del que ofrece la URL. Tan fácil, como esto. El sistema es tal que así de sencillo:
[a href=”http://www.servidorpasarela.com/lanzadera.php?link=1]Visita el mejor porno casero[/]
Si el visitante quiere visitar el mejor porno casero tiene que hacerlo visitando ese link. Cuando se llama al programa lanzadera.php con el valor de link indica cual es la URL que hay que visitar. Se accede al almacén de las URLs y se extrae la dirección con valor 1. Después se navega automáticamente a ese link. Con esto, el servidorpasarela puede llevar una contabilidad sobre el número e información de los visitantes de un sitio a través de un link y si tiene una base de datos de marketing cruzada hasta quien es la persona que ha hecho click. Se usa para saber si tiene éxito o no publicar algo en determinados sitios. A veces se añade un identificador único de usuario a cada link o el mail del receptor de la newsletter como parámetro de lanzadera.php para tener toda la información a mano.
¿Observado?
Pensando en esto, os podréis imaginar que el supuesto programa lanzadera.php es solo de paso e incluso mucha gente no repara en él. Sólo dura un par de segundos la interacción. Sin embargo ese sitio parece un lugar perfecto para atacar la base de datos de un sistema pues, este programa, si detrás hay una base de datos, realiza seguro un Select, para sacar la URL y un INSERT para registrar los datos del usuario.
Elegí como víctima para el experimento un nombre de lanzadera muy común “golink.asp” y el resultado tras 3 minutos de navegación fue este:
Como siempre....
Más común es go.php o go.asp :P
ResponderEliminar¿Cómo siempre?
ResponderEliminarYo creía que por lo menos la gente se preocupaba ya de no mostrar los errores. Que por lo menos habría que usar "blind"...
@net, ya has probado? ;)
ResponderEliminar@anónimo, sí, pero... no. Así están las cosas. ;)
oooh.... que no, que yo no he sido, no he hecho click en ningun lado...
ResponderEliminar... a lo mas.. pense que invasor profundo era un vehiculo autonomo de combate, como el de la peli Stealth...
Cada vez estoy mas convencido que mis variables "$andevaeste" y "$stoqueloquees" son mas útiles... jeje
ResponderEliminarUn saludin!
Es que hay que hacer las aplicaciones a prueba de "niños". ;)
ResponderEliminar