No es un hackeo aunque a alguno se lo pudiera parecer (y a que será lo que publicarán los medios), es un ataque con cross-site scripting. Esto es que aprovechando que la web del PSOE recibe parámetros sin filtrar (en la negrita está el pecado del webmaster de turno), han usado el parámetro "password" para, en vez de meterle una contraseña, meterle una imagen. Pero esa imagen es externa, no está en el servidor del PSOE, y para verla hay que introducirla en la URL del envío, junto con el código html correspondiente. La imagen no está allí, es el visitante el que la añade sin darse cuenta
No es un hackeo aunque a alguno se lo pudiera parecer (y a que será lo que publicarán los medios), es un ataque con cross-site scripting. Esto es que aprovechando que la web del PSOE recibe parámetros sin filtrar (en la negrita está el pecado del webmaster de turno), han usado el parámetro "password" para, en vez de meterle una contraseña, meterle una imagen. Pero esa imagen es externa, no está en el servidor del PSOE, y para verla hay que introducirla en la URL del envío, junto con el código html correspondiente. La imagen no está allí, es el visitante el que la añade sin darse cuenta
#43 Hay dos opciones: volverla a enviar pero con un enlace válido, que no desaparezca cuando arreglen la página (una captura por ejemplo), o cambiarle la url de este envio por la captura, aunque ya tiene bastantes negativos el envío.
#48 Creo que no has entendido que el "hackeo" este no tiene mérito alguno. Cuando entres en la página del PSOE con la imagen graciona, lee la URL, en la barra de direcciones. A la derecha del todo verás la URL de la imagen, alojada en otro dominio. Si cambias la ruta y pones otra, y recargas la página, seguirá funcionando y cargará la otra imagen.
Pero alguien que entre a la web del psoe por enlaces no trucados, no verá nada raro.
El título, entradilla, geolocalización y etiquetas de los envíos, como así también la categoría en el que se inserta, debe reflejar y no distorsionar el contenido del enlace. Menéame no es un sitio de microblogging, o para generar noticias u opinión en el espacio reservado para la descripción del envío.
Las consecuencias de enviar o votar un envío que es microblogging pueden ser votos negativos o incluso descartes por violar las normas.
#58 Lo he entendido perfectamente. Me ha hecho gracia la foto que ha puesto, sin más.
Deberías relajarte y no buscar enfrentamientos haya donde no los haya
#0 Te queda 1 minuto y medio para modificar la entradilla y colocar la imagen que enlaza #36. Después, a los 30 minutos, ya no podrás modificarlo. OK ,#36 eres #0 Qué tonto soy
Vale, esta ha sido un microblogging de libro y merece ser tumbada, pero que alguín suba un meneo correcto sobre esto correctamente porque merece ser portada!
A parte de que eso no sería un hackeo, sino un scriptkideo.
También podría hablar de que mucho "no les votes", pero luego parece que es "no votes a este partido en concreto", puesto que muchas acciones van enfocadas en ese partido en vez de repartir entre PSOE, PP y CIU, que sería lo lógico, puesto que los tres votaron la Ley sinde a favor.
#47 Es problema de como "parsea" Maneame los enlaces, por eso es mejor filtrarlo por un sitio de URLs cortas.
#54 Bueno, la cuestión es que si mandas un enlace por e-mail a alguien o lo plantas en Facebook o Twitter la gente entrará y verá cosas raras, y los usuarios "normales" no van a saber que es un hack, bastante tienen con saber que se pueden escribir cosas en la barra de direcciones y no hay que buscarlo siempre en Google, es decir, es un agujero de seguridad grave que puede perjudicar mucho la imagen de esta gente. Es más, muchos usuarios no se van a fijar si es texto o imagen, así que puedes colocar un panfleto contra el PSOE, o con el PSOE anunciando recortes masivos y aumentos de impuestos brutales (quiero decir, todo eso pero más que lo que hay ya), o anunciando su fusión con el PP o mil cosas más, y hacerlo por ejemplo un par de días antes de las elecciones para montar la gorda. Por otro lado dice mucho de cómo está hecha esa web, y anima a hacer experimentos con Javascript e inyecciones SQL que realmente podrían dar lugar a ataques más serios.
Comentarios
/mode geek on
No es un hackeo aunque a alguno se lo pudiera parecer (y a que será lo que publicarán los medios), es un ataque con cross-site scripting. Esto es que aprovechando que la web del PSOE recibe parámetros sin filtrar (en la negrita está el pecado del webmaster de turno), han usado el parámetro "password" para, en vez de meterle una contraseña, meterle una imagen. Pero esa imagen es externa, no está en el servidor del PSOE, y para verla hay que introducirla en la URL del envío, junto con el código html correspondiente. La imagen no está allí, es el visitante el que la añade sin darse cuenta
/mode geek off
Microblogging de libro.
Captura hecha por si acaso
#0 La "noticia" tal y como está meneada es errónea.
Es demasicado facil hacerlo: http://tinyurl.com/3kpl3wq
La cuestión es que a esta hora todavía no han hecho nada, al menos podrían haber verificado el nombre de dominio en la URL, menudos webmasters.
Es errónea, básicamente por lo que dice #19
Esto no es un hackeo. La web del PSOE no se ve alterada en forma alguna, la imagen solo se ve en el navegador del visitante.
Dicho de otra forma, dicho enlace en el que sale ZP con el nolesvotes no es accesible directamente desde ningún lugar de la web del PSOE.
Es microblogging de libro, vamos.
#23 He entrado de nuevo
En estos momentos no se puede ofrecer esta pagina
por favor, intentelo mas tarde, gracias.
#22 Eso es de enero.
#Gracias, es que estaba escribiendo y no podía leerte, ya lo he cambiado
Lo mandé a notame, a lo mejor no debería haberlo publicado aquí.
#nomevotes
#24 Yo ahora mismo la veo. ¿Efecto Menéame?
#26 #27 No tengo ni idea de lo que pasa, pero al refrescar sí que carga.
#12 Joer no se como ponerlo, bueno le he puesto etiqueta humor ¿mejor?, grrr estoy espesa esta mañana
Lo se, pero no sabía como enviarlo
¡A ver! ¿Quién ha sido el graciosete?
#24 Sí, a mi también me ha aparecido ese mensaje, actualicé y otra vez la cara de zapatero con la nariz de payaso de nolesvotes.
#24 #23 Yo acabo de entrar y sí la puedo ver
#0 Con poner "La web del PSOE es hackeada con una imagen de #nolesvotes" es suficiente, no sería microblogging
#14 Coñe, leeme en #13
#17 Si pones una captura de imagen en la entradilla mejor, no vaya a ser que lo arreglen
#21 No, entra de nuevo.
Yo también la veo.
#33 #34 Es verdad, ahora lo veo
#22 Ese comunicado es sobre un XSS anterior, no sobre éste
#32 A mi ahora me funciona a la primera. Esto es un puto cachondeo
#43 Hay dos opciones: volverla a enviar pero con un enlace válido, que no desaparezca cuando arreglen la página (una captura por ejemplo), o cambiarle la url de este envio por la captura, aunque ya tiene bastantes negativos el envío.
Como prefieras.
A eso lo llamo yo pedir el voto útil.
Ahora no.
En estos momentos no se puede ofrecer esta pagina
por favor, intentelo mas tarde, gracias.
#0 ¿Tienes captura de pantalla o has decidido que prefieres ver agonizar este meneo ?
Que bueno #47!!!!
#6 Te queda tiempo para modificar el meneo: ni Zapatero hace campaña por nolesvotes, ni es "actualidad, política"
#35
#48 Creo que no has entendido que el "hackeo" este no tiene mérito alguno. Cuando entres en la página del PSOE con la imagen graciona, lee la URL, en la barra de direcciones. A la derecha del todo verás la URL de la imagen, alojada en otro dominio. Si cambias la ruta y pones otra, y recargas la página, seguirá funcionando y cargará la otra imagen.
Pero alguien que entre a la web del psoe por enlaces no trucados, no verá nada raro.
#17 Quita el "Haciendo campaña"
La finalidad es describir qué ocurre en la noticia, no la impresion que tengamos
Con ponerlo en categoría curiosidades es sificiente
#18 Ya lo han arreglado.
#32 Ahora sí. Alguien se está luciendo
Si le cambiaran el "les" por un "nos" lo imprimía en una camiseta y me lo llevaba a algún mitín.
Un xss hecho con un humor muy fino. Me encanta
http://www.moglik.com/i/show/8615
#Joer que #36 también soy yo, menudo trabajazo..., que no soy muy ducha en esto, perdonar.
http://meneame.wikispaces.com/Microblogging
El título, entradilla, geolocalización y etiquetas de los envíos, como así también la categoría en el que se inserta, debe reflejar y no distorsionar el contenido del enlace. Menéame no es un sitio de microblogging, o para generar noticias u opinión en el espacio reservado para la descripción del envío.
Las consecuencias de enviar o votar un envío que es microblogging pueden ser votos negativos o incluso descartes por violar las normas.
Bueno pues descartarla si está mal puesta, lo siento
#44 Pues si que estoy fina hoy, nada tumbar la noticia y a otra cosa.
Yo no puedo cambiar la url al envio, y como la vuelva a enviar me van a freir a negativos, ya he metido hoy mucho la pata, que la descarten y andando
#47 pues sí que parece fácil, a ver...: http://www.psoe.es/generic/subscription.do?action=Password&type=newsletters&href=%22+/%3E%3Cimg+src%3D%22http://4.bp.blogspot.com/-hyQ5drVq7_Y/TWII387ZAeI/AAAAAAAAIbE/Kd3Dktirr6A/s1600/vendetta2.jpg
EDITO: haciendo click en el link no sale, poniendo el link en la barra de direcciones sí...
Ahora es errónea. Ya lo han quitado.
Comunicado de la Moncloa: http://www.la-moncloa.es/ActualidadHome/2009-2/040110UE.htm
#0 La noticia es errónea ya que lleva a una página que dentro de poco ya no servirá.
#22 eso es de hace más de un año: lunes, 04 de enero de 2010
#47 ¡te votaría positivo millones de veces!
#58 Lo he entendido perfectamente. Me ha hecho gracia la foto que ha puesto, sin más.
Deberías relajarte y no buscar enfrentamientos haya donde no los haya
Hoy en dia se hackea, amigo. Vete a programar en mspaint.
#0 Te queda 1 minuto y medio para modificar la entradilla y colocar la imagen que enlaza #36. Después, a los 30 minutos, ya no podrás modificarlo. OK ,#36 eres #0 Qué tonto soy
Vale, esta ha sido un microblogging de libro y merece ser tumbada, pero que alguín suba un meneo correcto sobre esto correctamente porque merece ser portada!
Yo no la he llegado a ver, así que voto ERRÓNEA.
A parte de que eso no sería un hackeo, sino un scriptkideo.
También podría hablar de que mucho "no les votes", pero luego parece que es "no votes a este partido en concreto", puesto que muchas acciones van enfocadas en ese partido en vez de repartir entre PSOE, PP y CIU, que sería lo lógico, puesto que los tres votaron la Ley sinde a favor.
#47 Es problema de como "parsea" Maneame los enlaces, por eso es mejor filtrarlo por un sitio de URLs cortas.
#54 Bueno, la cuestión es que si mandas un enlace por e-mail a alguien o lo plantas en Facebook o Twitter la gente entrará y verá cosas raras, y los usuarios "normales" no van a saber que es un hack, bastante tienen con saber que se pueden escribir cosas en la barra de direcciones y no hay que buscarlo siempre en Google, es decir, es un agujero de seguridad grave que puede perjudicar mucho la imagen de esta gente. Es más, muchos usuarios no se van a fijar si es texto o imagen, así que puedes colocar un panfleto contra el PSOE, o con el PSOE anunciando recortes masivos y aumentos de impuestos brutales (quiero decir, todo eso pero más que lo que hay ya), o anunciando su fusión con el PP o mil cosas más, y hacerlo por ejemplo un par de días antes de las elecciones para montar la gorda. Por otro lado dice mucho de cómo está hecha esa web, y anima a hacer experimentos con Javascript e inyecciones SQL que realmente podrían dar lugar a ataques más serios.
Mmmm no les votes... tienen razón, voy a votar al PP
Pues si que ha cambiado Zapatero http://www.psoe.es/generic/subscription.do?action=Password&type=newsletters&href="+/>