Os dejo los fallos XSS de Tuenti que os dije en la anterior entrada, pero antes tengo que contaros lo ocurrido.
El viernes 2 de Noviembre reporté un fallo de seguridad en los canales de páginas de Tuenti, que es el que os pondré al final de la entrada en PDF para que lo veáis. Ese mismo día lo arreglaron y también encontré otros dos fallos que tenían que ver también con los canales de páginas Tuenti. Como ya os dije en la anterior entrada, he estado trasteando con los fallos para ver hasta que punto se podía llegar.
Hasta este jueves 8 de noviembre he podido investigar un poco estos fallos, pensaba reportarlos hoy y publicarlos en cuanto se arreglasen, pero como digo, el jueves por la tarde comencé a recibir visitas a mi perfil de Tuenti, llegando a recibir 14 visitas en unos 20 minutos, algo que me pareció bastante raro pues la media de visitas a mi perfil es de 1 o 2 a la semana. Por la noche me puse a seguir trabajando con lo fallos, ¿y que pasó? Pues que de repente los fallos habían sido corregidos, sin reporte ninguno. Uno de los fallos tenia que ver con el estado y el panel de novedades, como ya os dije, el otro estaba en los mensaje privados. El de los mensajes privados nadie lo conocia, solamente yo.
Asique no se que hubieseis pensado vosotros pero yo la única explicación que encuentro a todos estos acontecimientos es la siguiente:
Los administradores de Tuenti estuvieron visitando mi perfil para intentar ver que fallos había descuebierto. Posiblemente no pudieron ver nada, asique entraron a mi cuenta y seguramente miraron algún registro de mis estados para ver donde estaba el fallo de los estados. Al entrar a mi cuenta me miraron los privados y descubrieron el fallo de seguridad de los privados. Una vez conocidos los fallos los arreglaron.
Esta es la historia, no tengo pruebas pero es la única explicación que tengo para esto.
Y ahora os explico los fallos!
Os dejo el pdf del primer fallo que si pude reportar a Tuenti, del resto no puedo dejar pdf por que no lo tengo preparado, os explico más abajo en que consistían.
El primer fallo tiene que ver con el estado, como ya os dije, y es que usando el link del canal de página y publicándolo usando el estado, cuando tus amigos ven tu estado se inyecta el código del nombre del canal en su panel de novedades. Así de simple.
El segundo es igual pero en los mensajes privados. Mandas un mensaje privado con el enlace a los canales de una pagina con código y este se inyecta el abrir el privado.
Todos estos fallos se producen por que Tuenti automáticamente pone mas "bonito" el link y no lo muestra, sino que muestra una fotito del vídeo añadiendo información como las visitas y el nombre de canal en el que esta el video, que en nuestro caso el nombre de canal coincide con el nombre de la página, que es código.
Y esto era todo. Si tenéis alguna duda o sugerencia dejad comentarios o poneos en contacto conmigo a través de mi Twitter.
Nos leemos en la próxima, en la que probablemente os enteréis de los fallos antes que Tuenti, si quieren conocerlos antes, que cotilleen mi perfil ;)
Si encuentras un xss y lo divulgas sin reportar mereces que te quiten del hall of fame por lammer.
ResponderEliminarCuando aprendas el significado de lammer vienes y me lo cuentas campeón. Que yo sepa divulgar sin reportar no tiene nada que ver con lammer.
EliminarSi quieres le digo que cambien mi nombre por el tuyo, que seguro que eres menos lammer.