viernes, mayo 26, 2006

Futbol, mentiras y páginas web

Hola a todos los malditos del lado del mal, y a vosotros que estais en el lado del bien vigilandome también ;).

A veces escribo el blog solo por saber la fecha a la que estamos pq el ritmo de vida este que llevo, y ahora sin reloj no me deja ni saber donde estoy.

En breve tengo mis examenes, un bonito parcial de Ingeniería del Software y una asignatura de Redes, así que me pondré en modo mosqueo de aquí a nada.

Antes de nada tengo que agradecer a la gente de onobanet lo bien que se curraron el último training day en Huelva y esas gambitas, y esas cervecitas, y esos adobitos, y esos choquitos y ese cubatita y .... bueno, eso, lo bien que se lo curraron. Que arte quillos!

Después de llegar dormido en el AVE a las 12 de la noche, hoy nos hemos puesto ver la página web del barsa, por eso de que como no tuve tiempo por el curro de ver el partido, aún no he visto los goles. No soy muy futbolero, lo reconozco, pero sí soy un curioso impenitente.

Allí estaba yo viendo la web, cuando de repente, no os lo vais a creer, se me fue la mano y puse algo raro en la URL. Es que el teclado de mi portatil es muy pequeño y mis dedos son muy grandes y salió un mensaje extraño, como de miquele o mysuele, o mysql, no se muy bien qué. El caso es que, después viendo las faqs en castellano, he visto que alguien ha jugado con las URLs y ha redirigo las páginas a otra web. No he querdio seguir mirando, no vayan a pensar que he sido yo el que ha roto la web, por que no es verdad. Es cierto que estaba por allí curioseando, pero que me corten un pie si yo he roto algo de allí.

Lo que yo puse sin querer fue:
http://www.fcbarcelona.com/esp/socios/faq/news.html?id=69ort'df

y los links raros (que me corten un pie, repito) están en las faqs.
Entras en la web en español, vas a la zona de OAB, le das a buscar algún documento (por ejemplo busca futbol) y sale una lista de archivos faqs que tiene que ver con ello. Si miras el link al que referencian es un servidor externo.

http://test2.staffmediapro.com/esp/socios/faq/vine_04.html

Si lo buscas en la web en catalán, los links están bien.

Parece ser que alguien ha encontrado la forma de modificar la URL en esa base de datos. Tb parece como un hackeo a medias. Yo he hecho mis debercillos y he visto alguna cosita, y creo que se que es lo que han hecho (no hay que ser muy listo para dar con la info necesaria).

Barcelona Campeón, equipo de la web del barcelona a la intertoto.

Un saludo maligno!!

17 comentarios:

Anónimo dijo...

Vaya, y yo que pensaba que eras del Atleti... ;-)

Caramba, carambita, carambola. Manipulación de una consulta SQL, qué divertido. :-P

Anónimo dijo...

Pues no se, según comentan en SecurityFocus, por número de vulnerabilidades gana Sqlserver...

En fin, menos mal que dentro de medio año (si no se produce algún retrasillo de estos de última hora, pero vaya, ruaro ruaro ruaro) sale Windows Vista y no Visto. Que otra cosa no, pero va a traer bastante tecnología: croquetamente procesadores más potentes y memorias más grandes para mover todo eso. Por cierto, como dice la campaña de M$... ¿estás listo?

Si no fuera por M$ el parque informático estaría anticuadísimo con Pentiums tres y cuatro a 1ghz, menuda mierda de ordenadores. Para que luego digan que no está a favor de la innovación.

Por cierto ¿es verdad que van a cambiar la nomenclatura SP1, SP2, etc por RC1, RC2, etc?

Fdo: el Benigno

Chema Alonso dijo...

Hola Benigno!

veo que no estás muy puesto. Lo del barsa no tiene nada que ver con Mysql, es un fallo de desarrollo, pero como no sabes como va te pones a otro tema. Venta a la sesión de Seguridad Práctica para empresas que enseño como se hacen estas cosas.

Respecto a lo de Vista, yo espero que salga cuando esté listo y no que tengamos que poner en producción productos en beta (otro día te paso una lista de ellos que algunos buenos ponen en producción). Pero que bien que MS hace caso al lado del bien pq antes el comentario era: "vosotros no hacéis nada y decís que es otra versión cada dos años para sacar pasta" Pues no, ahora no hay prisa, que el producto salga bien y a su tiempo.

Respecto a las versiones no te veo nada puesto en el tema, verás, primero están las versiones alpha, luego la beta1, de la cual se saca internamente una built diaria (un numerito muy chulo que acompaña la versión), una vez pasada la fase de beta1 y siempre dentro de las fases del SDL, se pasa a pruebas externas (beta2) betatesters, etc..., cuando el producto está depurado se pasa a RC (Release Candidate) RC1, RC2, ... asín hasta que se llega a RTM (release to Manufactured/Market) y asín tendremos versión final. Después salen Service Packs, que desde el año 2004 son nuevas funciones y los programas con los parches. WXP tuvo 2 SP, W2003 tiene 1 y creo que saldrá el SP2. Y.. y esto es nuevo, cada 2 años apareceran lo que se llaman las "minor realeses" que son las llamadas R2, que es la misma versión del sistema operativo pero con nuevos servicios. Esto quiere decir que tendremos. Vista Beta1, VistaBeta2, (ah, tb las versiones para la comunidad Comunity Technicla Preview (betas más o menos estables, mensuales) Vista CTPOctubre,VistaCTPNoviembre, VistaRC1, VistaRC2,.., VistaRTM, y por fin Windows Vista, luego será, Vista SP1, VistaSP2 y luego Windows Vista R2.

Esto es una ingeniería, ¿que piensas que es hacer un sistema operativo completo? ¿Cuatro amiguetes que tiran lineas?

BesoTs benigno!

Anónimo dijo...

Tienes razón, no me molesté demasiado en estudiar el tema. Al parecer el server es un windows (supongo que el de la bbdd también). Haber empezado por ahí.

En cuanto a lo de las versiones veo que no eres muy bueno pillando ironías, o al revés, que eres demasiado bueno ;-)

En cuanto a lo de hacer un SO sé que no son cuatro amiguetes. Lo suelen hacer empresas grandes, que no dejan a sus programadores que hagan extras para que rindan más, que suelen reutilizar código (ya sea bueno o malo) del año la polka en aras de una especie de retrocompatibilidad, con sus bugs y todo, al final son sentimentales (aunque luego sea necesario comprarte un PC nuevo para poder ver los nuevos mensajes de error a todo color). Que luego lo encierran en cajitas de carton (y todo sabemos que los cartones estan por las nubes, sobre todo el de Marlboro), con un coste marginal por unidad de risa y que se vende como si fuera oro. A no, espera, que el Vista pero no Visto una de las veces que lo han parao ha sido para reescribirlo de 0, aunque luego se supo con el tema este del wmf que utilizaba código de win 3.x para visualizar imágenes, bueno me callo que me estoy haciendo un lio.

(Sin acritud, pero si supuestamente hay un lado bueno y otro malo tiene que venir un benigno para que tu teoría adquiera sentido)

Fdo: el Benigno

Anónimo dijo...

PD: no me importaría volver a algún evento donde participes, desde luego eres bueno en lo tuyo.

Pero sin mariconadas.

Chema Alonso dijo...

Benigno, tu y yo acabamos de pareja de hecho!

Bueno, la leyenda dice que Windows Vista empezaba de 0 todo el código. Lo de la compatibilidad hacia atrás tiene lo que tiene. Cosas buenas y cosas malas. Peor es actualizar un kernel y que no haya garantía de compatibilidad hacia atrás (o no depende de para qué puede ser bueno -ya tendremos este debate otro día).

El tabaco no se como andará de caro, pero los informaticos.... Y yo el primero!!! que para algo estudié y estudio cohone! para ganarme la vida lo mejor posible! Aunque, como decía la serie original, creo que elejí mal y tenía que ser artísta: 'Mama quiero ser artísta' http://www.nuberos.net/Discusiones/tabid/154/Default.aspx

Anónimo dijo...

Yo, en cambio no vengo a divagar sobre confusas teorías aproximativas... prefiero quedarme con el 'or 1=1 -- que me da un resultado constante, y no veas lo bien que me lo he pasado estos días poniéndolo en prácticas estos truquillos y otros aprehendidos en la sesión de Punta Umbría.

Fui con un grupo de 7 alumnos del remoto pueblo de Aracena (so far north), Huelva; entiéndase 130Km apróx. para ver al ChemAlonso, y lo cierto es que no defraudó.

De todas las presentaciones vistas y habidas (y llevo ya unas cuantas en mis espaldas), esta fue sin duda la más cojonuda por su continente y contenido ¡y eso que nosotros eramos de redes y era una sesión de msdn!. La próxima Hand on Lab de seguridad no rateo y me gasto los 90 eurazos, ahí queda dicho.

Los alumnos fliparon y vislumbraron de forma lejana aquella nebulosa de la seguridad, como se realiza un ataque, los peligros a los que estamos expuestos y las buenas prácticas para evitar en la medida de lo posible que te la metan del reves.
Como locos están bajando herramientas y trasteando por ahí.

Bueno Killo-Chema, que lo mismo de onobanet pero parriba, pala sierra, cerca de jabugo, a mano derecha, pa ponerte ciego de jamón y todas las cositas buenas que tenemos por la comarca.


Pdta: Soy Gustavo, aquel que te llevó la última vez al ave en la gira de seguridad que hicistes en el Melia.

Chema Alonso dijo...

Ke paha Gustavo!

que yo recuerde es la tercera vez que te veo entre el publico y tengo una foto tuya del último evento, si me pones un mail te la envío. Por cierto, la URL que me has dejado en volando voy me ha encantado.

Y dime, exactamente, ¿Donde quieres que montemos la próxima conferencia?

Enga pájaro!! Dales recuerdos a tus chicos!

Anónimo dijo...

Joder, que es un SQL injection de toda la vida, cómo os flipáis.

a) Posibilidades de hacer daño: mucha
b) Facilidad de arreglarlo: mucha
c) Complejidad para encontrarlo: poca

En fin, que no tiene tanto misterio como pretendes.

Chema Alonso dijo...

¿Quién le da misterio?

Lo que tiene es mucha gracia y además, demuestra la poca seriedad que tienen las empresas con la seguridad.

Pinta y Colorea, nada complicado de hacer.

Por cierto... ya se han dado cuenta y han arreglado los links

Anónimo dijo...

"Parece ser que alguien ha encontrado la forma de modificar la URL en esa base de datos. Tb parece como un hackeo a medias. Yo he hecho mis debercillos y he visto alguna cosita, y creo que se que es lo que han hecho (no hay que ser muy listo para dar con la info necesaria)."

Jajajajaja, qué patético eres. La dirección "http://test2.staffmediapro.com/esp/socios/faq/vine_04.html" no es un "hackeo a medias", Staffmedia es la empresa que hace la web del Barça (moléstate en mirar la web http://staffmediapro.com, sección "clientes") y se debe tratar de una web de pruebas (ese test2 debe ser por eso, ¿no?). Lo que pasa es que los has pillado en medio del traspaso del sistema de pruebas al sistema de producción, en fin.

No me jodas, lo pintas como que has descubierto un agujero enorme, que has sido el primero en ver el "hackeo a medias", etc. y luego dices que "no le das misterio". Triste, muy triste.

Chema Alonso dijo...

Bueno, bueno, sin faltar, que veo que no tienes mucha idea y por eso no te enteras compañero.

Mira, con esta URL se saca el nombre del usuario

http://www.fcbarcelona.com/esp/socios/faq/news.html?id=69%20union%20select%201%20from%20mysql.users%20where%201=1

Con esta sale el nombre de la base de datos

http://www.fcbarcelona.com/esp/socios/faq/news.html?id=69%20union%20select%201%20from%20notienesniputaidea%20where%201=1

y con esta la tabla que hay que modificar para cambiar las URLs

http://www.fcbarcelona.com/esp/socios/faq/news.html?id=69%20union%20select%201%20from%20faq%20where%201=1

pero a lo mejor aún no lo entiendes, así que vente a algún evento donde te enseño como se encuentra el nombre de la columna y como se lanza el update y como se saca la versión (sin actualizar de mysql) y....

Chema Alonso dijo...

Se que no debo, se que no debo decirlo, pero en fin, estoy muerto de la risa de leer tu comentario y es que la ignorancia es atrevida. Ja,ja,ja. Tú si queres triste y patético!!, jajaja seguro que hasta hablas de seguridad y... sin tener ni puñetera idea!!, no podía más lo siento! pido disculpas a todos los contertulios del foro por este ataque de indecoro, pero las drogas a veces me afectan y cuando leo posts como el último, me hacen reir. Ya sabéis como son los cigarrillos de la risa.

En fin, disculpas otra vez!

Por cierto, figura, dejanos tu web o tu blog, que seguro que tienes ;)

Anónimo dijo...

Mira, acabas de descubrir la sopa de ajo. SQL injection, fácil, sencillo, nada más.

En serio, errores como este se encuentran a patadas y sin tener que ser un "mega hacker de la hostia". De verdad, no pretendas darme clases de seguridad con tus charlas. Supongo que a los no iniciados las cosas que cuentas les parecen el sumum de la seguridad. Seguro que también les hablas de Cross site scripting como "lo más peligroso de internet".

Por otra parte, en mi anterior comentario sólo te hablaba de que no se trataba de "un hackeo a medias". No hay ningún hackeo.

¿Porqué no pones el nombre de la vulnerabilidad en la noticia, con un enlace a la wikipedia, por ejemplo? ¿Porqué no les informas del error? ¿Porqué ese halo de misterio? ¿Porqué esa prepotencia?

¿Has trabajado alguna vez en materia de seguridad? ¿Realmente has hecho algo más que SQL injections? ¿Has hecho auditorías a empresas? ¿Algún test de penetración? ¿Conoces PKI? ¿Sabes algo de criptografía?

Visto el nivel de comentarios en tu blog, no me sorprendería que la respuesta a las preguntas fuera "no".

PD: no cuidar la ortografía desmerece bastante el poco contenido que tiene tu web

Chema Alonso dijo...

Bueno, parece que tenemos un experto.

Vamos por parte.

En las charlas de seguridad que llevo dando 5 años, siempre digo que que hacer esas coas no tiene ningún misterio, pero creo que no has venido a ninguna.

Respecto a tus preguntas, la respuesta es Sí a todas, trabajo en materia de seguridad desde hace 5 años, he estado con los equipos de seguridad de las principales empresas de este país, con los ministerios, cuerpos de seguridad, bancos, etc... He hecho auditorías de seguridad a empresas, universidades, bancos y organismos oficiales. Tests de penetración, firewalls, pki, (esto último ha tenido gracia), ipsec, kerberos, integración de sistemas, sistemas de detección de intrusos, .... y sí, de criptografía tb se algo.

Respecto a lo de que me creo un megahacker, siempre he dicho que yo no me considero un hacker.

Creo que has llegado a mi blog un poco por casualidad, pq no me has visto en mi vida ni sabes quien soy ni me conoces, verdad?

Lo de las faltas de ortografía es cierto, pero creo que es un mal que tenemos muchos técnicos que hacemos el subnormal en los blogs. Ya pedí disculpas en el primer post de mi blog por ello.

Un besoT waperas.

Chema Alonso dijo...

Por cierto, si eres de Madrid puedes venir a verme el día 13 en una sesión de seguridad. Te animas?

Chema Alonso dijo...

Y reitero, ¿no tiene gracia que el barsa tenga vulnerabilidades en su web y que se le puedan cambiar las urls?

A mi me hace gracia. Serán las drogas...

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares