lunes, junio 22, 2009

El Manchester United a por Vitor Baia

Y es que podía haberse puesto cualquier otra noticia similar y hubiera sido igual de impactante y falsa. La historia viene porque en la web del periódico AS publicaron ayer una noticia en la que decía que el Manchester United estaba preparando la web para Iker Casillas.

Esta información había sido deducida por un periodista en un momento de epifanía tras las barbacoas del fin de semana y tras contarle alguien que en este link aparecía el nombre de Iker Casillas en la web.


Iker en la web del Manchester

A partir de ahí, notición en la web del As.


La cagada de noticia

La explicación es más simple, en la base de datos que da soporte a la aplicación web del Manchester United hay una tabla de jugadores internacionales de todos los tiempos, tanto del Manchester United como no. La pagina web que muestra la ficha de los jugadores de la primera plantilla tira de esa tabla. Basta con manipular los valores del campo bioid para acceder a datos de otros jugadores. Sin embargo, como se puede ver, no aparece información relativa a su fichaje por el United.

Esto puede ser problematico o no dependiendo de la información a la que se acceda, pues si toda es pública, entonces el único perjudicado es el que la ve de esta forma, es decir, el que ve la informaicón pública mal formateada. Sin embargo, la predicción de información por manipulación de parámetros predecibles puede ser un riesgo para la seguridad en una empresa si se llega a acceder a un dato sensible.

En este caso concreto se podría lanzar una sesión con una petición masiva de valores de bioid para ver que información saca por pantalla. Yo he probado alguno y me ha tocado... Vitor Baia, así que he puesto mi propio titular.


Vitor Baía al United

Tú puedes hacer tu jugada y ver quién te toca, el que genere más revuelo gana.

Lo que me llama la atención es como una web mal formateada puede generar tanto movimiento. La respuesta debe ser el futbol, que mueve masas y mucha pasta, pero tras ver esto, no me queda ninguna duda que la importancia de los ataques de XSS, persistentes o no, los de phising cutres y los de ingeniería social siguen siendo los putos amos.

Saludos Malignos!

14 comentarios:

Anónimo dijo...

Algo así no?

http://seifreed.files.wordpress.com/2009/06/michel_salgado.jpg

jajaja

Muy buena esa

ARL dijo...

Hola, no soy especialmente quisquilloso con la ortografia pero en el primer párrafo has puesto "biene". Me ha saltado a la cara.

Le sigo con asiduidad.
Un saludo.

Chema Alonso dijo...

@seifreed, ese es el espíritu!

@ARL, arreglada la cagada y voy a darme un par de hostias en penitencia, porque es para matarme. Gracias!

manu ^^ dijo...

Parece que hay un development team leader jugando al futbol ... http://tinyurl.com/l3d6xf

Por cierto, fijate los replay attacks que se pueden hacer en el formulario de inscripción; con un pequeño comando en cURL me pude hacer tres seguidos.

Saludos.

Anónimo dijo...

El Manchester da...

http://www.manutd.com/default.sps?pagegid={FE60904B-C2A8-4E60-9B05-700DBBC29BBC}&teamid=443%A7ion=playerProfile&bioid=4000

^^

Newlog

Pableras dijo...

Jeje, cuando ví la noticia y entré al link me puse a probar con otros bioid ... atención, que el Manchester tiene fichado a Salgado también:

http://www.manutd.com/default.sps?pagegid={FE60904B-C2A8-4E60-9B05-700DBBC29BBC}&teamid=443§ion=playerProfile&bioid=4018

:)

René Guerra dijo...

La estupidez es fractal. Así que no hay remedio, no se puede suprimir. La ingenieria social seguirá reinando para siempre.

Txalin dijo...

Jo, esto es una mina, as y marca ya tienen titulares para el resto del año xD

http://www.manutd.com/default.sps?pagegid={FE60904B-C2A8-4E60-9B05-700DBBC29BBC}&teamid=443%A7ion=playerProfile&bioid=93862

jijiijjiijii

Txalin dijo...

Jojojoojojo

http://www.manutd.com/default.sps?pagegid={FE60904B-C2A8-4E60-9B05-700DBBC29BBC}&teamid=443%A7ion=playerProfile&bioid=93867

tayoken dijo...

Cómo se nota cuando te tocan a los tuyos :D

Que sea el propio As (si fuese el mundo deportivo) el que saque estas chorradas debe escocer todavía más... jijiji

Saludetes!

Anónimo dijo...

Pues habrá que enviar a un reportero del País algo así:

http://www.elmundo.es/elmundo/2009/06/22/television/1245667938.html/**/%22%3E%3Cscript%3Edocument.getElementById(/tamano/.source).innerHTML=String.fromCharCode(76,101,115,32,101,99,104,97,98,97,32,108,97,120,97,110,116,101,32,101,110,32,101,108,32,99,97,102,233,33,33)%3C/script%3E

A ver que pasa...

Anónimo dijo...

Y con el 4025... El retirado ¡¡Zizu!!

Unknown dijo...

Hum los de marca también estuvieron finos xDDD

http://www.marca.com/2009/06/21/futbol/futbol_internacional/premier_league/1245576998.html

si eg queee hay gente que se emociona muy rápido xDD

Anónimo dijo...

Hmm incluso hacen publicidad de ciertos ISP´s enmascarándolo con nombres extranjeros, vaya vaya...

http://www.manutd.com/default.sps?pagegid={FE60904B-C2A8-4E60-9B05-700DBBC29BBC}&teamid=443%A7ion=playerProfile&bioid=3415

y pa mas carallo que dirían algunos, los caracteres de verificación para poner este post son "golanoce", que digo yo que si no se entiende mejor un "GOL !!!; Ahhhhh, no cé"

Entrada destacada

Tu Latch "Hack Your Innovation Contest": Haz un PoC & Hack por 1.000 €

El pasado Telefónica Innovation Day 2024 lanzamos oficialmente el " Tu Latch Hack Your Innovation Contest " en el que repartimos ...

Entradas populares