322 meneos

Detalles de la vulnerabilidad de Tuenti

diazr.com/detalles-de-la-vulnerabilidad-de-tuenti/ 
por --119894-- el 04-05-2009 15:56 UTC publicado el 05-05-2009 08:15 UTC

El equipo de Tuenti ha puesto fin a la vulnerabilidad de la que hablé pasados cinco días de su advertencia. Ahora, os voy a contar la historia de cómo surgió todo y de como un trabajo de investigación conjunto y en tiempo libre puede dar muchos frutos. Algunas aclaraciones sonarán evidentes (e incluso estúpidas) para cualquier iniciado en el campo, pero mi intención es que lo entienda el mayor número de personas posible (ya que el perfil del visitante de este blog no es necesariamente techie).

etiquetas: bug, tuenti, vulnerabilidad
negativos: 5   usuarios: 188   anónimos: 134  
compartir:  twitter  facebook  tuenti  
36 comentarios tecnología, seguridad karma: 686
  1. #1   Hola! Acabo de leer la entrada de tu blog... Me interesa mucho el tema de las redes sociales pero al leer tu texto siento comunicarte que no he entendido ni papa xD -no tengo una gran idea a esos niveles de informática-.

    Podrías comentarnos cómo nos afectan esas "vulnerabilidades" a los usuarios de tuenti?

    Muchas gracias! ^^
    8  votos: 0   link
    el 04-05-2009 16:06 UTC por saludmoreno saludmoreno
  2. #2   #1 la vulnerabilidad ya a sido a arreglada, pero paso a explicarte que riesgo tenia antes de que la arreglaran:

    Cualquier usuario mal intencionado, con solo insertar en el perfil de cualquier usuario un comentario (con un código) podía hacer varias cosas (como dar de baja la cuenta, cambiar el email,...) y además este código se propagaría automáticamente a todos los amigos de se usuario, y así sucesivamente...

    Han pasado 5 dias desde que los de Tuenti fueron avisado, en esos 5 días se podría haber hecho un daño muy grande a la famosa red social.

    Espero habértelo aclarado mejor.
    121  votos: 13   link
    el 04-05-2009 16:15 UTC por --106513-- --106513--
  3. #3   spam pam pam pam xD
    -93  votos: 12   link
    el 04-05-2009 16:17 UTC por alaquepuedameneo alaquepuedameneo
  5. #5   Muchas gracias por tu explicación scromega! :-)
    8  votos: 0   link
    el 04-05-2009 16:20 UTC por saludmoreno saludmoreno
  6. #6   #4 ninguna de las dos, pero si estas muy influenciado por el propietario :-P
    -13  votos: 4   link
    el 04-05-2009 16:20 UTC por alaquepuedameneo alaquepuedameneo
  8. #8   #7 8-D
    6  votos: 0   link
    el 04-05-2009 16:33 UTC por alaquepuedameneo alaquepuedameneo
  9. #9   #5 de nada, ya que @outime no esta, te lo explico yo :-)
    6  votos: 0   link
    el 04-05-2009 16:44 UTC por --106513-- --106513--
  10. #10   #9 esto no es Jisko xD :-P
    6  votos: 0   link
    el 04-05-2009 16:48 UTC por rayko rayko
  11. #11   #9 y #10 Lo siento, es que soy nueva... xD
    8  votos: 0   link
    el 04-05-2009 16:52 UTC por saludmoreno saludmoreno
  12. #12   arrrg
    6  votos: 0   link
    el 04-05-2009 16:54 UTC por alaquepuedameneo alaquepuedameneo
  13. #13   <mode Sigo_en_mis_trece> Pero siguen si poner la política de privacidad y las condiciones legales en la página de incio </mode Sigo_en_mis_trece>
    21  votos: 1   link
    el 04-05-2009 21:13 UTC por Stash Stash
  14. #14   Haciendo pruebas e provocado que nadie, ni siquiera yo mismo pueda entrar a mi perfil.

    Cagüenlaputa xD xD xD
    6  votos: 0   link
    el 04-05-2009 23:38 UTC por --84693-- --84693--
  15. #15   Muy Relacionada: meneame.net/story/vulnerabilidad-critica-tuenti
    32  votos: 1   link
    el 05-05-2009 07:11 UTC por Tanatos Tanatos
  16. #16   Bueno, para la gente que hay en el Tuenti, creo que ni se dieron cuenta de esa vulnerabilidad o si lo dices seguro que te contestan el típico: bueno y a mi que me importa .

    Meneo porque me a parecido interesante y para mi bien explicado.
    6  votos: 0   link
    el 05-05-2009 08:36 UTC por MacMagic MacMagic
  17. #17   Ya que todos nos alarmamos con la noticia del fallo de Tuenti es bueno que ahora se divulge esto y cese la alarma.

    Saludos a los tuentusers.
    6  votos: 0   link
    el 05-05-2009 08:39 UTC por joseluisft joseluisft
  18. #18   ¿Soy el único que desea que se la claven muy adentro?
    12  votos: 0   link
    el 05-05-2009 08:44 UTC por miau miau
  20. #20   Ni que hubiese descubierto oro... lo que es una coña es el trabajo de investigación al que hace referencia, debió ser muy duro! anda que los hay flipados...
    12  votos: 1   link
    el 05-05-2009 09:30 UTC por fgonz fgonz
  21. #21   #20 Por poco le dan una beca y todo xD
    6  votos: 0   link
    el 05-05-2009 09:38 UTC por TheOm3ga TheOm3ga
  22. #22   #21 sí tio, en el MIT creo, de hecho pasandome ahora por securityfocus.com ponian que la presentación de esta vulnerabilidad sería la charla estrella de la próxima DEFCON...
    12  votos: 1   link
    el 05-05-2009 09:43 UTC por fgonz fgonz
  23. #23   Es cierto que hoy en día es dificil encontrar algun XSS en webs bastante populares, pero de ahi a darle tanto bombo...

    Aunque sí puede suponer un secuestro de datos parciales de los usuarios, no representa un fallo en sí para la página web.
    8  votos: 0   link
    el 05-05-2009 09:57 UTC por --21751-- --21751--
  24. #24   La gracia en sí, está en el hecho del duro trabajo de investigación, ya me los veo chupandose tutoriales para no cagarla al presentarla, cuando con cualquier scanner de vulnerabilidades web (vease nikto) la hubiese cantado al momento y con explicación para tontos.

    Tuenti la tiene bastante más grave con el logout de los usuarios y no, no la subsanaron, sino que la empeoraron. Pero es la historia de siempre.. a alguien le importa algo tan lamentable como tuenti? :-)

    Si petase me reiría como cosa de 10 seg y acto seguido se me olvidaría.
    26  votos: 3   link
    el 05-05-2009 10:11 UTC por fgonz fgonz
  25. #25   #24, ¿por qué es lamentable? ¿Porque lo usa mucha gente?
    15  votos: 1   link
    el 05-05-2009 10:24 UTC por unf unf
  26. #26   #25 No, de hecho estoy encantado que se así, siempre es bueno tener de referencia redes como tuenti o badoo, para saber con quien no tratar. Eso y la cantidad de información personal que les encanta dar en ambos sitios... me parece de lo más divertido.
    6  votos: 0   link
    el 05-05-2009 10:48 UTC por fgonz fgonz
  27. #27   #22 percibo un sarcasmo
    6  votos: 0   link
    el 05-05-2009 11:17 UTC por Neofito Neofito
  28. #28   #27 percibes bien...
    20  votos: 2   link
    el 05-05-2009 11:27 UTC por fgonz fgonz
  29. #29   Tuenti es una _u__ m___da. </censored>
    8  votos: 0   link
    el 05-05-2009 11:52 UTC por --11273-- --11273--
  30. #30   #24 Nikto + inguma/python-scapy = Diversión con Tuenti.Bendito linux que me pone las herramientas de análisis al alcance de aptitude(8)
    6  votos: 0   link
    el 05-05-2009 12:06 UTC por andertxu andertxu
  31. #31   #27 Qué sagaz.
    12  votos: 1   link
    el 05-05-2009 14:30 UTC por TheOm3ga TheOm3ga
  32. #32   #31 percibo un sarcasmo :-)
    12  votos: 1   link
    el 05-05-2009 15:24 UTC por fgonz fgonz
  33. #33   #30 o Wikto, o FASTHTTPvulnerabilityscanner para windows o Nessus, o OpenVas, tanto para Unix, Linux o windows. Lo que sobran son herramientas. Los que se desarrollan cosas serias no miran banderitas ni luchas estúpidas entre sistemas, se preocupan de conocerlos. Las prefieres rubias o morenas? o solo te importa que esten buenas?. :-)
    6  votos: 0   link
    el 05-05-2009 15:31 UTC por fgonz fgonz
  34. #34   #34 y perdón por el Offtopic :-D , podemos hablar de física y química , la serie, así recuperamos el olor a tuenti. :-)
    6  votos: 0   link
    el 05-05-2009 15:33 UTC por fgonz fgonz
  35. #35   #33 Yo no me decanto por uno o por otro; me refiero que gracias a Synaptic tengo esas herramientas disponibles fácilmente,ya se que en Windows hay tambien más.Eso si,esto me ha recordado mi epoca de adolescente leyendo e-zines de SET... (ahora lo que toca es crackear redes WIFI, lo hago casi por hobby )
    6  votos: 0   link
    el 05-05-2009 15:53 UTC por andertxu andertxu
  36. #36   LFI :-D

    talento.tuenti.com/?lan=es../../../../../../../../../../../../../../..
    6  votos: 0   link
    el 06-05-2009 12:48 UTC por --84693-- --84693--
comentarios cerrados

menéame