2 de Febrero 2010

¡El retorno de the_h4x0r! ¡Esta vez es Facebook!

Hace unos meses alguien se coló en la web del PP valenciano y se dedicó a cambiarle la cara. Casualmente, yo estaba en mi puesto de vigía aquella noche (mejor no perder de vista a los peperos ni un momento, que luego nos la lían) y el tema me mantuvo bastante entretenido. Le cambiaron la carita tres veces. Mientras yo montaba guardia, un sevillano llamado the_h4x0r (a quien, con efecto inmediato, nombro colaborador oficial de este blog) encontró una vulnerabilidad similar en la web de sus adversarios políticos, el PSPV (PSOE) de la ciudad de Valencia. Pero the_h4x0r no aprovechó la debilidad para colar fotos de Rosa Díez o Sheldon Cooper, con lo divertido que habría estado, sino para darles el aviso en forma de pop-up. Otra historia de las buenas.

Ahora ha vuelto a este, su blog, para informar del último fallo de seguridad que ha encontrado en una página web. Y esta vez no son naderías, nada de partiduchos locales cutres, sino el mismísimo Facebook, el puto CaraLibro. O al menos, una vulnerabilidad en una de sus aplicaciones. Os dejo con el mensaje que ha dejado como comentario en la entrada anterior:

Muy buenas amigos de nosigasleyendo. Ando muy ocupado sere breve no e encontrado otra zona donde postearlo.

Poes bien e encontrado un error sql en faceboock. ya e avizado al administrador de la web mediante mi correo electronico. en la injection sqli se pueden ver las tablas de la db (base de datos) aqui la injection sqli

[Enlace con inyección a la página de una app de Facebook]

un saludo y gracias por buestro apollo. las password de los usuarios estan en sha1 emcriptadas muy emcriptadas pero realmente digo... faceboock no deveria de tener mas seguridad?

bueno saludos

Panel de control de una app de Facebook

Los datos en sí están tapados, claro.

Dudo mucho que nadie que vaya a leer esto haya añadido esta aplicación a su perfil, ya que se trata de una página de noticias serbias. Podéis dormir tranquilos... al contrario que los administradores web descuidados, que ahora y siempre deberán temer al guardián que nunca duerme, al avisador incansable, al azote de la seguridad sostenida con chicle, al poderoso the_h4x0r. Y a su valeroso compinche, the_m4n∪, claro.
 

Enviado por Manu, 2 de Febrero 2010 a las 02:49 AM | TrackBack

Licencia CC

Comentarios
Envía un comentario