tag:blogger.com,1999:blog-21555208.post5696089293235078786..comments2024-03-21T18:48:30.830+01:00Comments on Un informático en el lado del mal: ¿Están ciegos en Edmodo?Chema Alonsohttp://www.blogger.com/profile/16328042715087424781noreply@blogger.comBlogger15125tag:blogger.com,1999:blog-21555208.post-64673554909431413522017-09-26T18:26:07.412+02:002017-09-26T18:26:07.412+02:00Thanks And Great Article
https://movies4andro.blo...Thanks And Great Article <br />https://movies4andro.blogspot.com/2017/09/watch-daddy-2017-movie-full-daddy-full.htmlMovies4Androhttps://www.blogger.com/profile/11560595471547430872noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-28115896910656605092012-01-25T11:06:29.954+01:002012-01-25T11:06:29.954+01:00Buenas, muy buen artículo. Yo soy uno de los progr...Buenas, muy buen artículo. Yo soy uno de los programadores que construyó el sitio. Agradezco mucho que te contactaras con el grupo de soporte de Edmodo en lugar de tratar de crear problemas en el sitio.<br /><br />El año pasado crecimos mucho en muy poco tiempo, lo que nos obligó a contratar varios nuevos programadores; y aunque lo intentamos, no fue fácil lograr que se adaptaran tan rápidamente como nos habría gustado a todas las convenciones que tenemos.<br /><br />Una de éstas es la manera en la que se obtienen los valores de los parámetros GET y POST, los cuales se supone tienen que obtenerse a través de una función que se asegura de que no haya intentos de inyección. Uno de nuestros programadores nuevos no estaba al tanto de esto y accedió directamente a los parámetros cuando se le asignó la reciente tarea de hacer varios cambios en los profiles.<br /><br />Otra situación es que tenemos mucha más gente que antes enviando mensajes en el grupo de soporte. Hace menos de dos años los programadores éramos los que leíamos los posts en soporte, en estos momentos son tantos que tenemos varias personas que trabajan tiempo completo exclusivamente respondiendo a las preguntas de soporte y pasándonos solamente las que consideran problemas que se tienen que arreglar por los programadores. No todas estas personas tienen un fondo técnico, por lo que a veces no nos llegan posts importantes como el tuyo.<br /><br />Por la parte de seguridad te puedo decir que guardamos todos los urls sospechosos para revisar (gracias a eso llegué a este artículo), y aunque hemos tenido varios intentos de inyección, hasta ahora puedo decir con bastante seguridad que nadie ha tenido éxito en obtener o modificar información privada de nuestra base de datos (recibimos varios "; DROP TABLE students;" por semana...). Ya personalmente arreglé el problema en el profile y revisé todo el código para asegurarme de que siempre se usen funciones seguras para obtener datos del cliente. Las únicas instancias donde esto no se estaba cumpliendo era en el profile y en una página de quizzes (ambas páginas nuevas).<br /><br />Gracias!<br />Alejndro Di MareAlejandro Di Marehttp://www.edmodo.com/alejandronoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-10263961984599876552012-01-18T22:58:19.142+01:002012-01-18T22:58:19.142+01:00Respondiendo a tu pregunta, "creo que puede t...Respondiendo a tu pregunta, "creo que puede tenerlos". Cosa muy distinta a decir que los tiene...<br /><br />Desde luego sería más adecuado que comentases el tema con los informáticos de la empresa (y no con alguien ajeno).<br /><br />Ya de paso si la economía lo permite una auditoría externa.Jayhttps://www.blogger.com/profile/13255709116448340656noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-42528920093125411442012-01-17T17:43:01.441+01:002012-01-17T17:43:01.441+01:00Hola!
Me ha parecido realmente interesante el artí...Hola!<br />Me ha parecido realmente interesante el artículo sobre la seguridad en edmodo. ¿Crees que www.redAlumnos.com (el edmodo made in Spain) puede tener problemas similares? Si es así, nos gustaría saberlo para ponerle remedio lo antes posible, en redAlumnos no estamos ciegos.<br />Un saludo!<br /><br />Rafa Oliva<br />Community Manager<br />www.redAlumnos.com<br />rafa.oliva (arroba) redalumnos.comRafa Olivahttp://www.redalumnos.comnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-33763374307681687712012-01-16T22:02:28.448+01:002012-01-16T22:02:28.448+01:00He intentado reproducir el fallo y no puedo. O bie...He intentado reproducir el fallo y no puedo. O bien obtengo una página de error diciendo que el perfil es privado o bien sólo veo las conversaciones que esa persona ha tenido conmigo.<br />¿Podría ser que estuviese ya solucionado?Juan José de Harohttps://www.blogger.com/profile/03563758450614391080noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-73265806815665607312012-01-16T17:49:19.814+01:002012-01-16T17:49:19.814+01:00@Anónimo Claro que los da, sino no habría una cons...@Anónimo Claro que los da, sino no habría una consulta xD.<br /><br />La pregunta es, ¿Puedes sacar algo de la DB sin que sea comprobando si la consulta es verdadera o falsa? No, ¿verdad? Pues entonces es BSQLi.<br /><br />Pasó mes y medio y tampoco miré mucho pero vamos con tus argumentos queda claro que eres un troll.<br /><br />@Fossie: Tienes toda la razón, no tenía que haber entrado al trapo, además a un tio sin experiencia y de FP este artículo no le viene mal para el CV...Jayhttps://www.blogger.com/profile/13255709116448340656noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-21230891136397334712012-01-16T17:15:43.054+01:002012-01-16T17:15:43.054+01:00Sinceramente no entiendo esta polémica. El artícul...Sinceramente no entiendo esta polémica. El artículo no trata de si es BSQLi o SQLi sino del problema de seguridad en Edmodo.<br /><br />¿Porque os parais en un detalle?<br />Sea lo que sea el caso es que es un fallo grave de seguridad y el autor ha hecho muy bien en ponerlo en conocimiento del administrador y, viendo que el admin pasaba del tema pues darlo a conocer para que los usuarios (o futuros usuarios) tengan conocimiento del tema y decidan si deben o no dar sus datos.fossiehttps://www.blogger.com/profile/04459507874163936269noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-87040568539643929242012-01-16T17:12:11.406+01:002012-01-16T17:12:11.406+01:00@Jay: ¿Y acaso no te da resultados la pagina que d...@Jay: ¿Y acaso no te da resultados la pagina que de ta los datos del perfil del usuario? Anda, lee un poco y acuestate. No creo que sea necesario explicar el porque. Cualquiera con unos conocimientos (no tan bajos como los tuyos) entenderia que esto es un sql injection sin necesidad de hacerlo blindAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-13237804045002384762012-01-16T16:31:35.271+01:002012-01-16T16:31:35.271+01:00@Anónimo De toda la vida de dios BSQLi es aquella ...@Anónimo De toda la vida de dios BSQLi es aquella que no da ningún resultado en la consulta, o mejor deicho en aquellas en las que no es visible.<br /><br />Si no estoy en lo correcto al afirmar que es Blind corrigeme y demuestralo escribiendo aquí la consulta y por qué no es blind.<br /><br />Hasta ahora no has argumentado nada diciendo que no sea que no tengo ni puta idea.<br /><br />PD: No estaría de más firmar lo que escribes.Jayhttps://www.blogger.com/profile/13255709116448340656noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-36557189233715554542012-01-16T16:13:53.228+01:002012-01-16T16:13:53.228+01:00@Jay: ¿Errores? ¿Dar errores? ¿Solo muestra el con...@Jay: ¿Errores? ¿Dar errores? ¿Solo muestra el contenido o no? Como se nota en tu comentario que no tienes ni idea de la diferencia entre blind sql injection y sql injection... Que buen articulo, si si... <br /><br />Buen nivel, buen nivel...Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-90908788465801101452012-01-16T12:59:37.446+01:002012-01-16T12:59:37.446+01:00Hola, soy el autor del artículo.
@Anónimo Hasta d...Hola, soy el autor del artículo.<br /><br />@Anónimo Hasta donde yo he visto no da errores, simplemente muestra el contenido o no. Si hay algún error que se puede ver en el código fuente personalmente lo desconozco.<br /><br />Si me puedes decir que errores da la sentencia te lo agradezco. Sino, es blind. Saludos y gracias por comentar.Jayhttps://www.blogger.com/profile/13255709116448340656noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-21805432207638708482012-01-16T10:04:11.982+01:002012-01-16T10:04:11.982+01:00Pues yo me considero de los "aburridos de tur...Pues yo me considero de los "aburridos de turno" que prueban esas cosas al igual que el autor del artículo... pero vamos que por desgracia no solo hay "aburridos" en internet, también hay mucha gente interesada en conseguir la información de esos 4.5 millones de usuarios de esa y de muchas otras webs.<br /><br />La gente sigue sin concienciarse de la importancia de esas cosas. Hasta el fallo más tonto pone en peligro a la empresa más grande.fossiehttps://www.blogger.com/profile/04459507874163936269noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-54458963669585436652012-01-16T09:42:51.405+01:002012-01-16T09:42:51.405+01:00@anónimo, quién lo ha confundido? Y ademas, un BSQ...@anónimo, quién lo ha confundido? Y ademas, un BSQLi es un SQLi que se explota de manera distinta. No todos los SQLi se explotan igual... relax.<br /><br />Saludos!Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-37247289589177065202012-01-16T09:35:31.876+01:002012-01-16T09:35:31.876+01:00confundir un blind sql injection con un sql inject...confundir un blind sql injection con un sql injection no tiene precio... luser!Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-80701351279367258442012-01-16T09:27:16.418+01:002012-01-16T09:27:16.418+01:00Juan el link principal está mal..está apuntando a ...Juan el link principal está mal..está apuntando a www.edmondo.com <br />en vez de a www.edmodo.com<br /><br />Un saludo!Alexnoreply@blogger.com