lunes, junio 22, 2009

El Manchester United a por Vitor Baia

Y es que podía haberse puesto cualquier otra noticia similar y hubiera sido igual de impactante y falsa. La historia viene porque en la web del periódico AS publicaron ayer una noticia en la que decía que el Manchester United estaba preparando la web para Iker Casillas.

Esta información había sido deducida por un periodista en un momento de epifanía tras las barbacoas del fin de semana y tras contarle alguien que en este link aparecía el nombre de Iker Casillas en la web.


Iker en la web del Manchester

A partir de ahí, notición en la web del As.


La cagada de noticia

La explicación es más simple, en la base de datos que da soporte a la aplicación web del Manchester United hay una tabla de jugadores internacionales de todos los tiempos, tanto del Manchester United como no. La pagina web que muestra la ficha de los jugadores de la primera plantilla tira de esa tabla. Basta con manipular los valores del campo bioid para acceder a datos de otros jugadores. Sin embargo, como se puede ver, no aparece información relativa a su fichaje por el United.

Esto puede ser problematico o no dependiendo de la información a la que se acceda, pues si toda es pública, entonces el único perjudicado es el que la ve de esta forma, es decir, el que ve la informaicón pública mal formateada. Sin embargo, la predicción de información por manipulación de parámetros predecibles puede ser un riesgo para la seguridad en una empresa si se llega a acceder a un dato sensible.

En este caso concreto se podría lanzar una sesión con una petición masiva de valores de bioid para ver que información saca por pantalla. Yo he probado alguno y me ha tocado... Vitor Baia, así que he puesto mi propio titular.


Vitor Baía al United

Tú puedes hacer tu jugada y ver quién te toca, el que genere más revuelo gana.

Lo que me llama la atención es como una web mal formateada puede generar tanto movimiento. La respuesta debe ser el futbol, que mueve masas y mucha pasta, pero tras ver esto, no me queda ninguna duda que la importancia de los ataques de XSS, persistentes o no, los de phising cutres y los de ingeniería social siguen siendo los putos amos.

Saludos Malignos!

14 comentarios:

  1. Algo así no?

    http://seifreed.files.wordpress.com/2009/06/michel_salgado.jpg

    jajaja

    Muy buena esa

    ResponderEliminar
  2. Hola, no soy especialmente quisquilloso con la ortografia pero en el primer párrafo has puesto "biene". Me ha saltado a la cara.

    Le sigo con asiduidad.
    Un saludo.

    ResponderEliminar
  3. @seifreed, ese es el espíritu!

    @ARL, arreglada la cagada y voy a darme un par de hostias en penitencia, porque es para matarme. Gracias!

    ResponderEliminar
  4. Parece que hay un development team leader jugando al futbol ... http://tinyurl.com/l3d6xf

    Por cierto, fijate los replay attacks que se pueden hacer en el formulario de inscripción; con un pequeño comando en cURL me pude hacer tres seguidos.

    Saludos.

    ResponderEliminar
  5. El Manchester da...

    http://www.manutd.com/default.sps?pagegid={FE60904B-C2A8-4E60-9B05-700DBBC29BBC}&teamid=443%A7ion=playerProfile&bioid=4000

    ^^

    Newlog

    ResponderEliminar
  6. Jeje, cuando ví la noticia y entré al link me puse a probar con otros bioid ... atención, que el Manchester tiene fichado a Salgado también:

    http://www.manutd.com/default.sps?pagegid={FE60904B-C2A8-4E60-9B05-700DBBC29BBC}&teamid=443§ion=playerProfile&bioid=4018

    :)

    ResponderEliminar
  7. La estupidez es fractal. Así que no hay remedio, no se puede suprimir. La ingenieria social seguirá reinando para siempre.

    ResponderEliminar
  8. Jo, esto es una mina, as y marca ya tienen titulares para el resto del año xD

    http://www.manutd.com/default.sps?pagegid={FE60904B-C2A8-4E60-9B05-700DBBC29BBC}&teamid=443%A7ion=playerProfile&bioid=93862

    jijiijjiijii

    ResponderEliminar
  9. Jojojoojojo

    http://www.manutd.com/default.sps?pagegid={FE60904B-C2A8-4E60-9B05-700DBBC29BBC}&teamid=443%A7ion=playerProfile&bioid=93867

    ResponderEliminar
  10. Cómo se nota cuando te tocan a los tuyos :D

    Que sea el propio As (si fuese el mundo deportivo) el que saque estas chorradas debe escocer todavía más... jijiji

    Saludetes!

    ResponderEliminar
  11. Pues habrá que enviar a un reportero del País algo así:

    http://www.elmundo.es/elmundo/2009/06/22/television/1245667938.html/**/%22%3E%3Cscript%3Edocument.getElementById(/tamano/.source).innerHTML=String.fromCharCode(76,101,115,32,101,99,104,97,98,97,32,108,97,120,97,110,116,101,32,101,110,32,101,108,32,99,97,102,233,33,33)%3C/script%3E

    A ver que pasa...

    ResponderEliminar
  12. Y con el 4025... El retirado ¡¡Zizu!!

    ResponderEliminar
  13. Hum los de marca también estuvieron finos xDDD

    http://www.marca.com/2009/06/21/futbol/futbol_internacional/premier_league/1245576998.html

    si eg queee hay gente que se emociona muy rápido xDD

    ResponderEliminar
  14. Hmm incluso hacen publicidad de ciertos ISP´s enmascarándolo con nombres extranjeros, vaya vaya...

    http://www.manutd.com/default.sps?pagegid={FE60904B-C2A8-4E60-9B05-700DBBC29BBC}&teamid=443%A7ion=playerProfile&bioid=3415

    y pa mas carallo que dirían algunos, los caracteres de verificación para poner este post son "golanoce", que digo yo que si no se entiende mejor un "GOL !!!; Ahhhhh, no cé"

    ResponderEliminar