Y es que podía haberse puesto cualquier otra noticia similar y hubiera sido igual de impactante y falsa. La historia viene porque en la web del periódico AS publicaron ayer una noticia en la que decía que el Manchester United estaba preparando la web para Iker Casillas.
Esta información había sido deducida por un periodista en un momento de epifanía tras las barbacoas del fin de semana y tras contarle alguien que en este link aparecía el nombre de Iker Casillas en la web.
Iker en la web del Manchester
A partir de ahí, notición en la web del As.
La cagada de noticia
La explicación es más simple, en la base de datos que da soporte a la aplicación web del Manchester United hay una tabla de jugadores internacionales de todos los tiempos, tanto del Manchester United como no. La pagina web que muestra la ficha de los jugadores de la primera plantilla tira de esa tabla. Basta con manipular los valores del campo bioid para acceder a datos de otros jugadores. Sin embargo, como se puede ver, no aparece información relativa a su fichaje por el United.
Esto puede ser problematico o no dependiendo de la información a la que se acceda, pues si toda es pública, entonces el único perjudicado es el que la ve de esta forma, es decir, el que ve la informaicón pública mal formateada. Sin embargo, la predicción de información por manipulación de parámetros predecibles puede ser un riesgo para la seguridad en una empresa si se llega a acceder a un dato sensible.
En este caso concreto se podría lanzar una sesión con una petición masiva de valores de bioid para ver que información saca por pantalla. Yo he probado alguno y me ha tocado... Vitor Baia, así que he puesto mi propio titular.
Vitor Baía al United
Tú puedes hacer tu jugada y ver quién te toca, el que genere más revuelo gana.
Lo que me llama la atención es como una web mal formateada puede generar tanto movimiento. La respuesta debe ser el futbol, que mueve masas y mucha pasta, pero tras ver esto, no me queda ninguna duda que la importancia de los ataques de XSS, persistentes o no, los de phising cutres y los de ingeniería social siguen siendo los putos amos.
Saludos Malignos!
Esta información había sido deducida por un periodista en un momento de epifanía tras las barbacoas del fin de semana y tras contarle alguien que en este link aparecía el nombre de Iker Casillas en la web.
Iker en la web del Manchester
A partir de ahí, notición en la web del As.
La cagada de noticia
La explicación es más simple, en la base de datos que da soporte a la aplicación web del Manchester United hay una tabla de jugadores internacionales de todos los tiempos, tanto del Manchester United como no. La pagina web que muestra la ficha de los jugadores de la primera plantilla tira de esa tabla. Basta con manipular los valores del campo bioid para acceder a datos de otros jugadores. Sin embargo, como se puede ver, no aparece información relativa a su fichaje por el United.
Esto puede ser problematico o no dependiendo de la información a la que se acceda, pues si toda es pública, entonces el único perjudicado es el que la ve de esta forma, es decir, el que ve la informaicón pública mal formateada. Sin embargo, la predicción de información por manipulación de parámetros predecibles puede ser un riesgo para la seguridad en una empresa si se llega a acceder a un dato sensible.
En este caso concreto se podría lanzar una sesión con una petición masiva de valores de bioid para ver que información saca por pantalla. Yo he probado alguno y me ha tocado... Vitor Baia, así que he puesto mi propio titular.
Vitor Baía al United
Tú puedes hacer tu jugada y ver quién te toca, el que genere más revuelo gana.
Lo que me llama la atención es como una web mal formateada puede generar tanto movimiento. La respuesta debe ser el futbol, que mueve masas y mucha pasta, pero tras ver esto, no me queda ninguna duda que la importancia de los ataques de XSS, persistentes o no, los de phising cutres y los de ingeniería social siguen siendo los putos amos.
Saludos Malignos!
Algo así no?
ResponderEliminarhttp://seifreed.files.wordpress.com/2009/06/michel_salgado.jpg
jajaja
Muy buena esa
Hola, no soy especialmente quisquilloso con la ortografia pero en el primer párrafo has puesto "biene". Me ha saltado a la cara.
ResponderEliminarLe sigo con asiduidad.
Un saludo.
@seifreed, ese es el espíritu!
ResponderEliminar@ARL, arreglada la cagada y voy a darme un par de hostias en penitencia, porque es para matarme. Gracias!
Parece que hay un development team leader jugando al futbol ... http://tinyurl.com/l3d6xf
ResponderEliminarPor cierto, fijate los replay attacks que se pueden hacer en el formulario de inscripción; con un pequeño comando en cURL me pude hacer tres seguidos.
Saludos.
El Manchester da...
ResponderEliminarhttp://www.manutd.com/default.sps?pagegid={FE60904B-C2A8-4E60-9B05-700DBBC29BBC}&teamid=443%A7ion=playerProfile&bioid=4000
^^
Newlog
Jeje, cuando ví la noticia y entré al link me puse a probar con otros bioid ... atención, que el Manchester tiene fichado a Salgado también:
ResponderEliminarhttp://www.manutd.com/default.sps?pagegid={FE60904B-C2A8-4E60-9B05-700DBBC29BBC}&teamid=443§ion=playerProfile&bioid=4018
:)
La estupidez es fractal. Así que no hay remedio, no se puede suprimir. La ingenieria social seguirá reinando para siempre.
ResponderEliminarJo, esto es una mina, as y marca ya tienen titulares para el resto del año xD
ResponderEliminarhttp://www.manutd.com/default.sps?pagegid={FE60904B-C2A8-4E60-9B05-700DBBC29BBC}&teamid=443%A7ion=playerProfile&bioid=93862
jijiijjiijii
Jojojoojojo
ResponderEliminarhttp://www.manutd.com/default.sps?pagegid={FE60904B-C2A8-4E60-9B05-700DBBC29BBC}&teamid=443%A7ion=playerProfile&bioid=93867
Cómo se nota cuando te tocan a los tuyos :D
ResponderEliminarQue sea el propio As (si fuese el mundo deportivo) el que saque estas chorradas debe escocer todavía más... jijiji
Saludetes!
Pues habrá que enviar a un reportero del País algo así:
ResponderEliminarhttp://www.elmundo.es/elmundo/2009/06/22/television/1245667938.html/**/%22%3E%3Cscript%3Edocument.getElementById(/tamano/.source).innerHTML=String.fromCharCode(76,101,115,32,101,99,104,97,98,97,32,108,97,120,97,110,116,101,32,101,110,32,101,108,32,99,97,102,233,33,33)%3C/script%3E
A ver que pasa...
Y con el 4025... El retirado ¡¡Zizu!!
ResponderEliminarHum los de marca también estuvieron finos xDDD
ResponderEliminarhttp://www.marca.com/2009/06/21/futbol/futbol_internacional/premier_league/1245576998.html
si eg queee hay gente que se emociona muy rápido xDD
Hmm incluso hacen publicidad de ciertos ISP´s enmascarándolo con nombres extranjeros, vaya vaya...
ResponderEliminarhttp://www.manutd.com/default.sps?pagegid={FE60904B-C2A8-4E60-9B05-700DBBC29BBC}&teamid=443%A7ion=playerProfile&bioid=3415
y pa mas carallo que dirían algunos, los caracteres de verificación para poner este post son "golanoce", que digo yo que si no se entiende mejor un "GOL !!!; Ahhhhh, no cé"