Portada
Hace 14 años | Por --119894-- a diazr.com
Publicado hace 14 años por --119894-- a diazr.com

Detalles de la vulnerabilidad de Tuenti

 diazr.com

El equipo de Tuenti ha puesto fin a la vulnerabilidad de la que hablé pasados cinco días de su advertencia. Ahora, os voy a contar la historia de cómo surgió todo y de como un trabajo de investigación conjunto y en tiempo libre puede dar muchos frutos. Algunas aclaraciones sonarán evidentes (e incluso estúpidas) para cualquier iniciado en el campo, pero mi intención es que lo entienda el mayor número de personas posible (ya que el perfil del visitante de este blog no es necesariamente techie).

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 48 36
Comunidad destacada de hoy
communty Fragmentos
Fragmentos
Literatos. compartimos fragmentos.
Fragmentos

Comentarios

D
editado

#1 la vulnerabilidad ya a sido a arreglada, pero paso a explicarte que riesgo tenia antes de que la arreglaran:

Cualquier usuario mal intencionado, con solo insertar en el perfil de cualquier usuario un comentario (con un código) podía hacer varias cosas (como dar de baja la cuenta, cambiar el email,...) y además este código se propagaría automáticamente a todos los amigos de se usuario, y así sucesivamente...

Han pasado 5 dias desde que los de Tuenti fueron avisado, en esos 5 días se podría haber hecho un daño muy grande a la famosa red social.

Espero habértelo aclarado mejor.

V 13
K 121
D
autor
editado

#6: Jamás he enviado un meneo de él @r0uzic simplemente me pasó el link, me interesó (seguí muy de cerca el tema de tuenti) y lo envié... ¿O es spam interesarse por los post de un amigo?

V 4
K 39
Tanatos
editado

Muy Relacionada: Vulnerabilidad crítica en Tuenti

Hace 14 años | Por Tanatos a diazr.com
Publicado hace 14 años por Tanatos a diazr.com

Vulnerabilidad crítica en Tuenti

 diazr.com

V 1
K 32
D
editado

#18 lamentablemente no, eres de los muchos que desean el mal ajeno

V 3
K 26
f
editado

La gracia en sí, está en el hecho del duro trabajo de investigación, ya me los veo chupandose tutoriales para no cagarla al presentarla, cuando con cualquier scanner de vulnerabilidades web (vease nikto) la hubiese cantado al momento y con explicación para tontos.

Tuenti la tiene bastante más grave con el logout de los usuarios y no, no la subsanaron, sino que la empeoraron. Pero es la historia de siempre.. a alguien le importa algo tan lamentable como tuenti?

Si petase me reiría como cosa de 10 seg y acto seguido se me olvidaría.

V 3
K 26
D
autor
editado

#3 No soy el propietario del blog, ni gano dinero anunciandolo aquí

V 2
K 23
Stash
editado

Pero siguen si poner la política de privacidad y las condiciones legales en la página de incio

V 1
K 21
f
editado

#27 percibes bien...

V 2
K 20
unf
editado

#24, ¿por qué es lamentable? ¿Porque lo usa mucha gente?

V 1
K 15
c
editado

#27 Qué sagaz.

V 1
K 12
f
editado

#31 percibo un sarcasmo

V 1
K 12
miau
editado

¿Soy el único que desea que se la claven muy adentro?

V 0
K 12
f
editado

Ni que hubiese descubierto oro... lo que es una coña es el trabajo de investigación al que hace referencia, debió ser muy duro! anda que los hay flipados...

V 1
K 12
f
editado

#21 sí tio, en el MIT creo, de hecho pasandome ahora por securityfocus.com ponian que la presentación de esta vulnerabilidad sería la charla estrella de la próxima DEFCON...

V 1
K 12
saludmoreno
editado

#9 y #10 Lo siento, es que soy nueva... lol

V 0
K 8
D
editado

Tuenti es una _u__ m___da.

V 0
K 8
saludmoreno
editado

Hola! Acabo de leer la entrada de tu blog... Me interesa mucho el tema de las redes sociales pero al leer tu texto siento comunicarte que no he entendido ni papa lol -no tengo una gran idea a esos niveles de informática-.

Podrías comentarnos cómo nos afectan esas "vulnerabilidades" a los usuarios de tuenti?

Muchas gracias! ^^

V 0
K 8
saludmoreno
editado

Muchas gracias por tu explicación scromega!

V 0
K 8
D
editado

Es cierto que hoy en día es dificil encontrar algun XSS en webs bastante populares, pero de ahi a darle tanto bombo...

Aunque sí puede suponer un secuestro de datos parciales de los usuarios, no representa un fallo en sí para la página web.

V 0
K 8
Candidatas
59
meneos
actualidad PSC y Junts acuerdan desmantelar los avances en vivienda en Barcelona
54
meneos
actualidad El monolito del 15-M será retirado en los próximos días
31
meneos
ocio TardeAR baja en su segundo día y ya es la tercera opción de las tardes a nivel de audiencias
52
meneos
actualidad Las oposiciones solo memorísticas para ser funcionario de las Administraciones Públicas tienen los días contados
28
meneos
roma Aspectos de la antigua Roma que nos resultarían chocantes hoy en día
106
meneos
politica Encuesta de "Diario policial", gestionado por miembros de las Fuerzas y Cuerpos de Seguridad
46
meneos
politica El Alcázar de Toledo acoge un concierto benéfico para un colectivo antiabortista que preside una concejala del PP
52
meneos
actualidad Recuperados más de 350 cachorros de perro en manos de una red ilegal: algunos se vendían a 5.000 euros
44
meneos
actualidad Móstoles: Policía secuestra cartelería de Roger Waters en apoyo a Julian Assange
37
meneos
artículos "No atraigas mediante conjuros la cosecha ajena" (Tabla VIII de las Leyes Romanas)
36
meneos
ocio "Aznar llama a la movilización"
109
meneos
actualidad El diputado Jorge Pueyo se defiende tras el ataque de Jimenez Losantos por hablar en fabla
42
meneos
politica Golpe de un exmilitar amnistiado a la vieja guardia del PSOE: "La amnistía es legal, me la concedieron"
33
meneos
actualidad Condenada la Comunidad de Madrid por sancionar a un trabajador que denunciaba mal ambiente en una residencia infantil
Neofito
editado

#22 percibo un sarcasmo

V 0
K 6
a
editado

arrrg

V 0
K 6
D
editado

Haciendo pruebas e provocado que nadie, ni siquiera yo mismo pueda entrar a mi perfil.

Cagüenlaputa lol lol lol

V 0
K 6
D
editado

#24 Nikto + inguma/python-scapy = Diversión con Tuenti.Bendito linux que me pone las herramientas de análisis al alcance de aptitude(8)

V 0
K 6
MacMagic
editado

Bueno, para la gente que hay en el Tuenti, creo que ni se dieron cuenta de esa vulnerabilidad o si lo dices seguro que te contestan el típico: bueno y a mi que me importa .

Meneo porque me a parecido interesante y para mi bien explicado.

V 0
K 6
j
editado

Ya que todos nos alarmamos con la noticia del fallo de Tuenti es bueno que ahora se divulge esto y cese la alarma.

Saludos a los tuentusers.

V 0
K 6
f
editado

#30 o Wikto, o FASTHTTPvulnerabilityscanner para windows o Nessus, o OpenVas, tanto para Unix, Linux o windows. Lo que sobran son herramientas. Los que se desarrollan cosas serias no miran banderitas ni luchas estúpidas entre sistemas, se preocupan de conocerlos. Las prefieres rubias o morenas? o solo te importa que esten buenas?.

V 0
K 6
f
editado

#34 y perdón por el Offtopic , podemos hablar de física y química , la serie, así recuperamos el olor a tuenti.

V 0
K 6
D
editado

#33 Yo no me decanto por uno o por otro; me refiero que gracias a Synaptic tengo esas herramientas disponibles fácilmente,ya se que en Windows hay tambien más.Eso si,esto me ha recordado mi epoca de adolescente leyendo e-zines de SET... (ahora lo que toca es crackear redes WIFI, lo hago casi por hobby )

V 0
K 6
D
editado

LFI

http://talento.tuenti.com/?lan=es../../../../../../../../../../../../../../../etc/passwd%00

V 0
K 6
c
editado

#20 Por poco le dan una beca y todo lol

V 0
K 6
a
editado

#7

V 0
K 6
D
editado

#5 de nada, ya que@outime no esta, te lo explico yo

V 0
K 6
r
editado

#9 esto no es Jisko lol

V 0
K 6
f
editado

#25 No, de hecho estoy encantado que se así, siempre es bueno tener de referencia redes como tuenti o badoo, para saber con quien no tratar. Eso y la cantidad de información personal que les encanta dar en ambos sitios... me parece de lo más divertido.

V 0
K 6
a
editado

#4 ninguna de las dos, pero si estas muy influenciado por el propietario

V 4
K -13
a
editado

spam pam pam pam lol

V 12
K -93