Movistar modificó (sin éxito) a última hora de la tarde de ayer el HTML de su web para evitar un fallo de Cross-site scripting que nos permitió elaborar nuestra broma del día de los inocentes al introducir aparentemente en su web información falsa sobre el lanzamiento de una modalidad FTTH de 300 Mbps. Lo cierto es que incluso con el parche, resulta fácil volver a hacer travesuras con una simple modificación. Visítala mientras dure (enlace en el comentario #1).
#8:
#7 Bastante feo ser una multinacional con miles de millones de beneficio y ser tan ratas de no pagar una auditoría de seguridad...
#30:
#25 Te lo voy a explicar, toda persona que entre a la página de movistar no verá nada modificado, es decir verá la página igual que siempre porque la página no se modifica. En cambio si entra por la url de banda ancha verá la oferta falsa porque se se ha pasado como parámetro. Es decir, la página de movistar muestra lo que tu pases como parámetro en la ruta. No se modifica la página simplemente aprovechas que tú puedes pasar lo que quieras en la url de la página de movistar. No se preocupan de validar los parámetros pasados. Solamente la gente que haya entrado por bandaancha o por una url creada al efecto verá la broma.
No sé si me he explicado bien
#3:
Condiciones:
- derecho de pernada sobre tu hermana
- donar el higado en vida
- tatuarse el logo de Movistar en tus partes
- bailar hasta morir
#15:
Parece que lo han arreglado, en la línea 1024.
Lo que no entiendo es que siendo una multinacional tengan un página que parece hecha por becarios.
/*Comentado por fallo. Al poner una URL cargaba en el iframe cualquier pagina*/
/*if ((url==null) || (url=="undefined"))
">
else
enlace=enlace+"&tieneAdsl="+tieneAdsl+"&tieneFibra="+tieneFibra+"&tieneImagenio="+tieneImagenio+"&tieneVdsl="+tieneVdsl;
enlace=enlace+"&precoberturaFibra="+precoberturaFibra+"&velocidadAdsl="+velocidadAdsl+"&velocidadVdsl="+velocidadVdsl;
enlace=enlace+"&velocidadImagenio="+velocidadImagenio;
">*/
#25 Te lo voy a explicar, toda persona que entre a la página de movistar no verá nada modificado, es decir verá la página igual que siempre porque la página no se modifica. En cambio si entra por la url de banda ancha verá la oferta falsa porque se se ha pasado como parámetro. Es decir, la página de movistar muestra lo que tu pases como parámetro en la ruta. No se modifica la página simplemente aprovechas que tú puedes pasar lo que quieras en la url de la página de movistar. No se preocupan de validar los parámetros pasados. Solamente la gente que haya entrado por bandaancha o por una url creada al efecto verá la broma.
No sé si me he explicado bien
Parece que lo han arreglado, en la línea 1024.
Lo que no entiendo es que siendo una multinacional tengan un página que parece hecha por becarios.
/*Comentado por fallo. Al poner una URL cargaba en el iframe cualquier pagina*/
/*if ((url==null) || (url=="undefined"))
">
else
enlace=enlace+"&tieneAdsl="+tieneAdsl+"&tieneFibra="+tieneFibra+"&tieneImagenio="+tieneImagenio+"&tieneVdsl="+tieneVdsl;
enlace=enlace+"&precoberturaFibra="+precoberturaFibra+"&velocidadAdsl="+velocidadAdsl+"&velocidadVdsl="+velocidadVdsl;
enlace=enlace+"&velocidadImagenio="+velocidadImagenio;
">*/
#25 siento el negativo, pero es la forma de corregir los errores ajenos. Nadie modificó nada en los servidores de movistar. Que corrijan el error antes de que venga alguien a liarla de verdad.
Es un error muy serio y generalmente ignorado. Un fallo de XSS en esa pagina podría provocar que posibles clientes pinchasen en un enlace de una oferta aparentemente seria y que les llevase a una pagina que les instalase malware (virus/troyanos/etc) o, peor aun, que les llevase a una página de alta online donde les pidiesen los datos bancarios con la apariencia de Movistar. Una persona sin conocimientos informaticos podría introducir sus datos y perder dinero, bastante dinero.
Mejor avisarles de esta manera del bug XSS y que lo arreglen en menos de 24h a que lo ignoren y haya personas a las que les perjudique.
#25 Si te informas un poco sobre que es el XSS veras que no implica modificar paginas web. Trata de aprovechar fallos de validacion y seguridad para provocar el efecto que comentas.
No es lo mismo, pero el nombre que usa (tu nick) no está alojado en el servidor, simplemente completa la página con lo que le envías en la URL y te devuelve la página personalizada.
#19#25 que parte de la noticia meneada donde dice Hay que resaltar que en ningún momento se ha defaceado, jacqueado o modificado la web de Movistar no entendiste??
#19 no, error, aquí nadie ha modificado nada. Es uno de los graves problemas del XSS y tiene tantos posibles ataques que mejpr que den gracias por éste aviso en clave de humor.
#19#23 He estado tentado de poneros una herramienta de cracking bastante potente que con XSS o URL's mal formadas o que dan resultados inesperados, se consiguen volcados enteros de usuarios y contraseñas Pero bueno con el interés suficiente supongo que no tardaríais más de 20 minutos en encontrar varias como esa.
Aún me acuerdo del post donde decían... 5000 cuentas de paypal crackeadas O como en vez de sacar el dinero de las tarjetas de credito que crakean las entregan en los foros para que sean otros quienes roben el dinero.
Más o menos lo mismo podría pasar con los datos de los usuarios con una buena vulnerabilidad...
Así que tienen suerte los de telefónica que sea todo en plan de coña.
#19NO se ha modificado nada, a ver si prestamos mas atención a lo que pone la noticia, simplemente al enviar la url modificada carga una parte distinta de la origina, pero la web sigue como estaba.
La página de movistar es un truño no ya por cómo está hecha, sino porque es un drama encontrar cualquier cosa. Es como un mejunje de publicidad que siempre acaba en el "Movistar Fusion Fibra", busques lo que busques.
XSS, del inglés Cross-site scripting es un tipo de inseguridad informática o agujero de seguridad típico de las aplicaciones Web, que permite a una tercera parte inyectar en páginas web vistas por el usuario código JavaScript o en otro lenguaje script similar (ej: VBScript), evitando medidas de control como la Política del mismo origen. Este tipo de vulnerabilidad se conoce en español con el nombre de Secuencias de comandos en sitios cruzados.
Voy a explicar lo que realmente es la Marca España:
1.- Telefónica contrata a consultora gigante A (del amigo de un jefecillo de Telefónica) a la que paga 150€/h por cada recurso.
2.- Consultora gigante A contrata a consultora mediana B (del amigo de un jefecillo de A), a la que paga 75€/h por cada recurso.
3.- Consultora mediana B contrata a consultora pequeña C (del amigo de un jefecillo de B), a la que paga 35€/h por cada recurso.
4.- Consultora pequeña C busca a un chaval joven en paro de la construcción, al que le paga 10€/h.
5.- Chaval joven sin formación específica "programa" la web de Movistar de aquella manera.
Sic. Esto es totalmente verídico, y por los resultados todos podemos ver que es hasta obvio.
editado:
El talento español en ingeniería es tremendo, contrastado internacionalmente, y valga este dato para reforzar la explicación anterior.
#43 Creo que Telefónica no permite la subcontratación de sus sistemas. De todas maneras, en mi caso siempre fue Telefónica -> consultora "grande" y fin. #37
He trabajado en la consultora encargada de llevar este y otros muchos sistemas de Telefónica. Da pavor ver las movidas que tienen montadas, sobre todo porque son cosas que llevan mucho tiempo parcheándose sin parar. Abundan los fuentes que tienen más líneas de código antiguo comentado que líneas funcionales.
#34 tampoco nos pasemos, conozco gente muy buena trabajando allí, incluso es posible que alguno haya escrito por aquí y que incluso le haya citado. Cosas de la vida
#8 Usar el XSS es la mejor forma de avisar. De otra forma estas empresas no hacen caso y seguirían teniendo dicha vulnerabilidad. El hacking/cracking ayuda a mejorar los softwares.
#13 siguiendo vuestro argumento, el que un tipo te reviente el coche aparcado en la calle ayuda a que decidas aparcarlo dentro un parking con medidas de seguridad.
#8#13 A mi me da grima solo pensar en como debe estar hecha la web por dentro. Ahora algún ejecutivo montará un pollo porque "nos han juankeado la ueb", exigirá encontrar un culpable y acabarán despidiendo a algun currante del nivel más bajo porque si, pondrán un cutre-parche para tapar la vulnerabilidad y todos tan contentos. Cuando la realidad es que la web no tiene solo "un fallo", está mal hecha de arriba a abajo en todos los niveles, y la culpa es de todos los que han intervenido en su diseño (no se si por maldad o incompetencia).
#7 no te leiste la noticia??? están avisando perfectamente, inclusive dan el número de línea que tiene el error. Si los de movistar son tan inútiles para no saber arreglarlo no es culpa de los bromistas.
Comentarios
Condiciones:
- derecho de pernada sobre tu hermana
- donar el higado en vida
- tatuarse el logo de Movistar en tus partes
- bailar hasta morir
#25 Te lo voy a explicar, toda persona que entre a la página de movistar no verá nada modificado, es decir verá la página igual que siempre porque la página no se modifica. En cambio si entra por la url de banda ancha verá la oferta falsa porque se se ha pasado como parámetro. Es decir, la página de movistar muestra lo que tu pases como parámetro en la ruta. No se modifica la página simplemente aprovechas que tú puedes pasar lo que quieras en la url de la página de movistar. No se preocupan de validar los parámetros pasados. Solamente la gente que haya entrado por bandaancha o por una url creada al efecto verá la broma.
No sé si me he explicado bien
#30 perfecto, gracias.
Parece que lo han arreglado, en la línea 1024.
Lo que no entiendo es que siendo una multinacional tengan un página que parece hecha por becarios.
/*Comentado por fallo. Al poner una URL cargaba en el iframe cualquier pagina*/
/*if ((url==null) || (url=="undefined")) ">
else enlace=enlace+"&tieneAdsl="+tieneAdsl+"&tieneFibra="+tieneFibra+"&tieneImagenio="+tieneImagenio+"&tieneVdsl="+tieneVdsl;
enlace=enlace+"&precoberturaFibra="+precoberturaFibra+"&velocidadAdsl="+velocidadAdsl+"&velocidadVdsl="+velocidadVdsl;
enlace=enlace+"&velocidadImagenio="+velocidadImagenio;
">*/
enlace="/Microsites/adsl-imagenio/adsl/comparador-adsl.html";
#15 ¿Que parece hecha por becarios? ¿Parece?
#19 No se ha modificado nada. No sabes lo que es un XSS, deja de decir estupideces.
#22 #23 #24
web actual: https://www.movistar.es/particulares/internet/movistar-adsl/opciones-tarifas/?url=http%3A%2F%2F1509452388%2Fetneconi.html%3Flanding%3D2014_broadband_offer
web que había con la "inocentada": http://bandaancha.eu/etneconi.html?landing=2014_broadband_offer
Si no es lo mismo, es distinto, ergo algo se ha modificado.
PD: dejadme de votar negativo, que ni he insultado, ni escribo sobre racismo, ni hago spam...
#25 siento el negativo, pero es la forma de corregir los errores ajenos. Nadie modificó nada en los servidores de movistar. Que corrijan el error antes de que venga alguien a liarla de verdad.
#27 #25
Es un error muy serio y generalmente ignorado. Un fallo de XSS en esa pagina podría provocar que posibles clientes pinchasen en un enlace de una oferta aparentemente seria y que les llevase a una pagina que les instalase malware (virus/troyanos/etc) o, peor aun, que les llevase a una página de alta online donde les pidiesen los datos bancarios con la apariencia de Movistar. Una persona sin conocimientos informaticos podría introducir sus datos y perder dinero, bastante dinero.
Mejor avisarles de esta manera del bug XSS y que lo arreglen en menos de 24h a que lo ignoren y haya personas a las que les perjudique.
#25 Si te informas un poco sobre que es el XSS veras que no implica modificar paginas web. Trata de aprovechar fallos de validacion y seguridad para provocar el efecto que comentas.
#38 o, peor aun, que les llevase a una página de alta online donde les pidiesen los datos bancarios con la apariencia de Movistar.
Peor aún: podría llevar a una página de alta online donde les pidiesen los datos bancarios Y FUERA MOVISTAR DE VERDAD
#25 http://www.trasier.esgay.com/
No es lo mismo, pero el nombre que usa (tu nick) no está alojado en el servidor, simplemente completa la página con lo que le envías en la URL y te devuelve la página personalizada.
#28
Exacto, es una feature de ellos, no de nadie.
#19 #25 que parte de la noticia meneada donde dice Hay que resaltar que en ningún momento se ha defaceado, jacqueado o modificado la web de Movistar no entendiste??
#14 mal ejemplo. Aquí nadie rompió nada.
#17 se ha modificado una web ajena, obligando a corregir por dos veces lo que se ha cambiado.
#19 no, error, aquí nadie ha modificado nada. Es uno de los graves problemas del XSS y tiene tantos posibles ataques que mejpr que den gracias por éste aviso en clave de humor.
#14 Como ya te han dicho, es una mala analogía.
#19 #23 He estado tentado de poneros una herramienta de cracking bastante potente que con XSS o URL's mal formadas o que dan resultados inesperados, se consiguen volcados enteros de usuarios y contraseñas Pero bueno con el interés suficiente supongo que no tardaríais más de 20 minutos en encontrar varias como esa.
Aún me acuerdo del post donde decían... 5000 cuentas de paypal crackeadas O como en vez de sacar el dinero de las tarjetas de credito que crakean las entregan en los foros para que sean otros quienes roben el dinero.
Más o menos lo mismo podría pasar con los datos de los usuarios con una buena vulnerabilidad...
Así que tienen suerte los de telefónica que sea todo en plan de coña.
#19 NO se ha modificado nada, a ver si prestamos mas atención a lo que pone la noticia, simplemente al enviar la url modificada carga una parte distinta de la origina, pero la web sigue como estaba.
#14 #17 Mas bien es cuando la gente te escribe "cerdo" o "lavalo" con el dedo de los 3 cm de mierda que tienes en el cristal...
Movistar, una de las peores páginas web junto con la de Renfe y TMB.
Enlace: http://www.movistar.es/particulares/internet/movistar-adsl/opciones-tarifas/?ur%6C=http%3A%2F%2F1509452388%2Fetneconi.html%3Flanding%3D2014_broadband_offer
La página de movistar es un truño no ya por cómo está hecha, sino porque es un drama encontrar cualquier cosa. Es como un mejunje de publicidad que siempre acaba en el "Movistar Fusion Fibra", busques lo que busques.
Enlace a la página con las ofertas de la inocentada, que era cargada dentro del contenido de movistar antes de que lo corrigieran:
http://bandaancha.eu/etneconi.html?landing=2014_broadband_offer
Instalación y mantenimiento; otras condiciones:
XSS, del inglés Cross-site scripting es un tipo de inseguridad informática o agujero de seguridad típico de las aplicaciones Web, que permite a una tercera parte inyectar en páginas web vistas por el usuario código JavaScript o en otro lenguaje script similar (ej: VBScript), evitando medidas de control como la Política del mismo origen. Este tipo de vulnerabilidad se conoce en español con el nombre de Secuencias de comandos en sitios cruzados.
http://es.wikipedia.org/wiki/Cross-site_scripting
Movistar peta: internet/movistar-adsl
Internet
cincodias.comhttp://www.movistar.es/particulares/internet/movistar-adsl/opciones-tarifas/?ur%6C=https://www.youtube.com/embed/rVADWAxOZtg?rel=0%3Flanding%3D2014_spain_pandereta_offer
Movistar way of life
Cómo es eso de corregir sin éxito?? Si no ha habido éxito no ha habido corrección, no?
hace 10 min (14:35) estaba sin arreglar, Ahora parece que pone 100mb/10 Antes ponía 300mb
Ya lo han arreglado parece ¿no?
Voy a explicar lo que realmente es la Marca España:
1.- Telefónica contrata a consultora gigante A (del amigo de un jefecillo de Telefónica) a la que paga 150€/h por cada recurso.
2.- Consultora gigante A contrata a consultora mediana B (del amigo de un jefecillo de A), a la que paga 75€/h por cada recurso.
3.- Consultora mediana B contrata a consultora pequeña C (del amigo de un jefecillo de B), a la que paga 35€/h por cada recurso.
4.- Consultora pequeña C busca a un chaval joven en paro de la construcción, al que le paga 10€/h.
5.- Chaval joven sin formación específica "programa" la web de Movistar de aquella manera.
Sic. Esto es totalmente verídico, y por los resultados todos podemos ver que es hasta obvio.
#43 Creo que Telefónica no permite la subcontratación de sus sistemas. De todas maneras, en mi caso siempre fue Telefónica -> consultora "grande" y fin.
#37
He trabajado en la consultora encargada de llevar este y otros muchos sistemas de Telefónica. Da pavor ver las movidas que tienen montadas, sobre todo porque son cosas que llevan mucho tiempo parcheándose sin parar. Abundan los fuentes que tienen más líneas de código antiguo comentado que líneas funcionales.
Otra fabrica de recomendados ....
#34 tampoco nos pasemos, conozco gente muy buena trabajando allí, incluso es posible que alguno haya escrito por aquí y que incluso le haya citado. Cosas de la vida
Este meneo es un casi spam o solo me lo parece a mi ?
Bastante feo usar un XSS para hacer una broma en vez de avisar para que lo arreglen.
#7 Bastante feo ser una multinacional con miles de millones de beneficio y ser tan ratas de no pagar una auditoría de seguridad...
#7 #8 ¿Y el juanker que contrataron hace meses para evitar estas cosas, qué? http://www.abc.es/tecnologia/informatica-soluciones/20130607/abci-telefonica-eleven-path-chema-201306071244.html
#9 En casa del herrero, cuchillo de palo
#8 Usar el XSS es la mejor forma de avisar. De otra forma estas empresas no hacen caso y seguirían teniendo dicha vulnerabilidad. El hacking/cracking ayuda a mejorar los softwares.
#13 siguiendo vuestro argumento, el que un tipo te reviente el coche aparcado en la calle ayuda a que decidas aparcarlo dentro un parking con medidas de seguridad.
#8 #13 A mi me da grima solo pensar en como debe estar hecha la web por dentro. Ahora algún ejecutivo montará un pollo porque "nos han juankeado la ueb", exigirá encontrar un culpable y acabarán despidiendo a algun currante del nivel más bajo porque si, pondrán un cutre-parche para tapar la vulnerabilidad y todos tan contentos. Cuando la realidad es que la web no tiene solo "un fallo", está mal hecha de arriba a abajo en todos los niveles, y la culpa es de todos los que han intervenido en su diseño (no se si por maldad o incompetencia).
Estas multinacionales tienen bugs de todos los colores. Mi router,de. Movistar, escupe la contraseña de admin sin estar registrado.
#7 normalmente no sirve de nada avisar y la mejor forma de que lo arreglen es ésta.
#7 no te leiste la noticia??? están avisando perfectamente, inclusive dan el número de línea que tiene el error. Si los de movistar son tan inútiles para no saber arreglarlo no es culpa de los bromistas.