No es un hackeo aunque a alguno se lo pudiera parecer (y a que será lo que publicarán los medios), es un ataque con cross-site scripting. Esto es que aprovechando que la web del PSOE recibe parámetros sin filtrar (en la negrita está el pecado del webmaster de turno), han usado el parámetro "password" para, en vez de meterle una contraseña, meterle una imagen. Pero esa imagen es externa, no está en el servidor del PSOE, y para verla hay que introducirla en la URL del envío, junto con el código html correspondiente. La imagen no está allí, es el visitante el que la añade sin darse cuenta
No es un hackeo aunque a alguno se lo pudiera parecer (y a que será lo que publicarán los medios), es un ataque con cross-site scripting. Esto es que aprovechando que la web del PSOE recibe parámetros sin filtrar (en la negrita está el pecado del webmaster de turno), han usado el parámetro "password" para, en vez de meterle una contraseña, meterle una imagen. Pero esa imagen es externa, no está en el servidor del PSOE, y para verla hay que introducirla en la URL del envío, junto con el código html correspondiente. La imagen no está allí, es el visitante el que la añade sin darse cuenta
#48 Creo que no has entendido que el "hackeo" este no tiene mérito alguno. Cuando entres en la página del PSOE con la imagen graciona, lee la URL, en la barra de direcciones. A la derecha del todo verás la URL de la imagen, alojada en otro dominio. Si cambias la ruta y pones otra, y recargas la página, seguirá funcionando y cargará la otra imagen.
Pero alguien que entre a la web del psoe por enlaces no trucados, no verá nada raro.
#47 Es problema de como "parsea" Maneame los enlaces, por eso es mejor filtrarlo por un sitio de URLs cortas.
#54 Bueno, la cuestión es que si mandas un enlace por e-mail a alguien o lo plantas en Facebook o Twitter la gente entrará y verá cosas raras, y los usuarios "normales" no van a saber que es un hack, bastante tienen con saber que se pueden escribir cosas en la barra de direcciones y no hay que buscarlo siempre en Google, es decir, es un agujero de seguridad grave que puede perjudicar mucho la imagen de esta gente. Es más, muchos usuarios no se van a fijar si es texto o imagen, así que puedes colocar un panfleto contra el PSOE, o con el PSOE anunciando recortes masivos y aumentos de impuestos brutales (quiero decir, todo eso pero más que lo que hay ya), o anunciando su fusión con el PP o mil cosas más, y hacerlo por ejemplo un par de días antes de las elecciones para montar la gorda. Por otro lado dice mucho de cómo está hecha esa web, y anima a hacer experimentos con Javascript e inyecciones SQL que realmente podrían dar lugar a ataques más serios.
El título, entradilla, geolocalización y etiquetas de los envíos, como así también la categoría en el que se inserta, debe reflejar y no distorsionar el contenido del enlace. Menéame no es un sitio de microblogging, o para generar noticias u opinión en el espacio reservado para la descripción del envío.
Las consecuencias de enviar o votar un envío que es microblogging pueden ser votos negativos o incluso descartes por violar las normas.
#0 Te queda 1 minuto y medio para modificar la entradilla y colocar la imagen que enlaza #36. Después, a los 30 minutos, ya no podrás modificarlo. OK ,#36 eres #0 Qué tonto soy
#43 Hay dos opciones: volverla a enviar pero con un enlace válido, que no desaparezca cuando arreglen la página (una captura por ejemplo), o cambiarle la url de este envio por la captura, aunque ya tiene bastantes negativos el envío.
#58 Lo he entendido perfectamente. Me ha hecho gracia la foto que ha puesto, sin más.
Deberías relajarte y no buscar enfrentamientos haya donde no los haya
Vale, esta ha sido un microblogging de libro y merece ser tumbada, pero que alguín suba un meneo correcto sobre esto correctamente porque merece ser portada!
A parte de que eso no sería un hackeo, sino un scriptkideo.
También podría hablar de que mucho "no les votes", pero luego parece que es "no votes a este partido en concreto", puesto que muchas acciones van enfocadas en ese partido en vez de repartir entre PSOE, PP y CIU, que sería lo lógico, puesto que los tres votaron la Ley sinde a favor.
Comentarios
/mode geek on
No es un hackeo aunque a alguno se lo pudiera parecer (y a que será lo que publicarán los medios), es un ataque con cross-site scripting. Esto es que aprovechando que la web del PSOE recibe parámetros sin filtrar (en la negrita está el pecado del webmaster de turno), han usado el parámetro "password" para, en vez de meterle una contraseña, meterle una imagen. Pero esa imagen es externa, no está en el servidor del PSOE, y para verla hay que introducirla en la URL del envío, junto con el código html correspondiente. La imagen no está allí, es el visitante el que la añade sin darse cuenta
/mode geek off
Es errónea, básicamente por lo que dice #19
Esto no es un hackeo. La web del PSOE no se ve alterada en forma alguna, la imagen solo se ve en el navegador del visitante.
Dicho de otra forma, dicho enlace en el que sale ZP con el nolesvotes no es accesible directamente desde ningún lugar de la web del PSOE.
Microblogging de libro.
Captura hecha por si acaso
#0 La "noticia" tal y como está meneada es errónea.
Es demasicado facil hacerlo: http://tinyurl.com/3kpl3wq
La cuestión es que a esta hora todavía no han hecho nada, al menos podrían haber verificado el nombre de dominio en la URL, menudos webmasters.
#47 ¡te votaría positivo millones de veces!
#48 Creo que no has entendido que el "hackeo" este no tiene mérito alguno. Cuando entres en la página del PSOE con la imagen graciona, lee la URL, en la barra de direcciones. A la derecha del todo verás la URL de la imagen, alojada en otro dominio. Si cambias la ruta y pones otra, y recargas la página, seguirá funcionando y cargará la otra imagen.
Pero alguien que entre a la web del psoe por enlaces no trucados, no verá nada raro.
#47 Es problema de como "parsea" Maneame los enlaces, por eso es mejor filtrarlo por un sitio de URLs cortas.
#54 Bueno, la cuestión es que si mandas un enlace por e-mail a alguien o lo plantas en Facebook o Twitter la gente entrará y verá cosas raras, y los usuarios "normales" no van a saber que es un hack, bastante tienen con saber que se pueden escribir cosas en la barra de direcciones y no hay que buscarlo siempre en Google, es decir, es un agujero de seguridad grave que puede perjudicar mucho la imagen de esta gente. Es más, muchos usuarios no se van a fijar si es texto o imagen, así que puedes colocar un panfleto contra el PSOE, o con el PSOE anunciando recortes masivos y aumentos de impuestos brutales (quiero decir, todo eso pero más que lo que hay ya), o anunciando su fusión con el PP o mil cosas más, y hacerlo por ejemplo un par de días antes de las elecciones para montar la gorda. Por otro lado dice mucho de cómo está hecha esa web, y anima a hacer experimentos con Javascript e inyecciones SQL que realmente podrían dar lugar a ataques más serios.
Que bueno #47!!!!
#47 pues sí que parece fácil, a ver...: http://www.psoe.es/generic/subscription.do?action=Password&type=newsletters&href=%22+/%3E%3Cimg+src%3D%22http://4.bp.blogspot.com/-hyQ5drVq7_Y/TWII387ZAeI/AAAAAAAAIbE/Kd3Dktirr6A/s1600/vendetta2.jpg
EDITO: haciendo click en el link no sale, poniendo el link en la barra de direcciones sí...
Es microblogging de libro, vamos.
#Gracias, es que estaba escribiendo y no podía leerte, ya lo he cambiado
#17 Si pones una captura de imagen en la entradilla mejor, no vaya a ser que lo arreglen
#18 Ya lo han arreglado.
#21 No, entra de nuevo.
#23 He entrado de nuevo
En estos momentos no se puede ofrecer esta pagina
por favor, intentelo mas tarde, gracias.
#22 Eso es de enero.
#24 Yo ahora mismo la veo. ¿Efecto Menéame?
#26 #27 No tengo ni idea de lo que pasa, pero al refrescar sí que carga.
#24 Sí, a mi también me ha aparecido ese mensaje, actualicé y otra vez la cara de zapatero con la nariz de payaso de nolesvotes.
#24 #23 Yo acabo de entrar y sí la puedo ver
#17 Quita el "Haciendo campaña"
La finalidad es describir qué ocurre en la noticia, no la impresion que tengamos
Con ponerlo en categoría curiosidades es sificiente
Lo mandé a notame, a lo mejor no debería haberlo publicado aquí.
#nomevotes
#12 Joer no se como ponerlo, bueno le he puesto etiqueta humor ¿mejor?, grrr estoy espesa esta mañana
#14 Coñe, leeme en #13
Lo se, pero no sabía como enviarlo
#6 Te queda tiempo para modificar el meneo: ni Zapatero hace campaña por nolesvotes, ni es "actualidad, política"
¡A ver! ¿Quién ha sido el graciosete?
Yo también la veo.
#0 Con poner "La web del PSOE es hackeada con una imagen de #nolesvotes" es suficiente, no sería microblogging
A eso lo llamo yo pedir el voto útil.
Ahora no.
En estos momentos no se puede ofrecer esta pagina
por favor, intentelo mas tarde, gracias.
#0 ¿Tienes captura de pantalla o has decidido que prefieres ver agonizar este meneo ?
#32 A mi ahora me funciona a la primera. Esto es un puto cachondeo
#33 #34 Es verdad, ahora lo veo
#35
#32 Ahora sí. Alguien se está luciendo
#44 Pues si que estoy fina hoy, nada tumbar la noticia y a otra cosa.
Si le cambiaran el "les" por un "nos" lo imprimía en una camiseta y me lo llevaba a algún mitín.
http://meneame.wikispaces.com/Microblogging
El título, entradilla, geolocalización y etiquetas de los envíos, como así también la categoría en el que se inserta, debe reflejar y no distorsionar el contenido del enlace. Menéame no es un sitio de microblogging, o para generar noticias u opinión en el espacio reservado para la descripción del envío.
Las consecuencias de enviar o votar un envío que es microblogging pueden ser votos negativos o incluso descartes por violar las normas.
Yo no puedo cambiar la url al envio, y como la vuelva a enviar me van a freir a negativos, ya he metido hoy mucho la pata, que la descarten y andando
Un xss hecho con un humor muy fino. Me encanta
http://www.moglik.com/i/show/8615
#0 Te queda 1 minuto y medio para modificar la entradilla y colocar la imagen que enlaza #36. Después, a los 30 minutos, ya no podrás modificarlo. OK ,#36 eres #0 Qué tonto soy
#Joer que #36 también soy yo, menudo trabajazo..., que no soy muy ducha en esto, perdonar.
Bueno pues descartarla si está mal puesta, lo siento
#43 Hay dos opciones: volverla a enviar pero con un enlace válido, que no desaparezca cuando arreglen la página (una captura por ejemplo), o cambiarle la url de este envio por la captura, aunque ya tiene bastantes negativos el envío.
Como prefieras.
#0 La noticia es errónea ya que lleva a una página que dentro de poco ya no servirá.
Ahora es errónea. Ya lo han quitado.
#58 Lo he entendido perfectamente. Me ha hecho gracia la foto que ha puesto, sin más.
Deberías relajarte y no buscar enfrentamientos haya donde no los haya
Comunicado de la Moncloa: http://www.la-moncloa.es/ActualidadHome/2009-2/040110UE.htm
#22 Ese comunicado es sobre un XSS anterior, no sobre éste
#22 eso es de hace más de un año: lunes, 04 de enero de 2010
Hoy en dia se hackea, amigo. Vete a programar en mspaint.
Vale, esta ha sido un microblogging de libro y merece ser tumbada, pero que alguín suba un meneo correcto sobre esto correctamente porque merece ser portada!
Yo no la he llegado a ver, así que voto ERRÓNEA.
A parte de que eso no sería un hackeo, sino un scriptkideo.
También podría hablar de que mucho "no les votes", pero luego parece que es "no votes a este partido en concreto", puesto que muchas acciones van enfocadas en ese partido en vez de repartir entre PSOE, PP y CIU, que sería lo lógico, puesto que los tres votaron la Ley sinde a favor.
Mmmm no les votes... tienen razón, voy a votar al PP
Pues si que ha cambiado Zapatero http://www.psoe.es/generic/subscription.do?action=Password&type=newsletters&href="+/>