viernes, 8 de junio de 2012

¡Qué no nos hagan la cobra por internet!

Todo aquel, en eso de conocer a una persona del sexo opuesto, o del mismo, para gustos colores… siempre debería tener el privilegio de permitirse una segunda oportunidad, cosa que no siempre se da dicha coyuntura. Pero más triste es, cuando esa opción jamás está en nuestras manos y ni tan siquiera llegamos a tener ese primer contacto, cosa que nos “hagan la cobra” por internet, tiende a ser un proceso bastante complicado.

Llegar a trampear lo que para algunos o algunas, puede ser Sexy o No, la astucia es sin duda en este terreno, una buena herramienta para abrirse camino. Pero no me refiero a la astucia en cuanto a llevar el último modelo de bambas, o el peinado a lo CR7, sino a saltarnos las normas y entrar a saco como a nosotros nos gusta.

Este domingo noche, cuando me cansé de hacer zapping, se me ocurrió entrar de nuevo en la conocida página de SexyOno, para ver si encontraba algo más entretenido. ¡Y vaya si lo encontré! nada más ni nada menos, que una vulnerabilidad en el control de peticiones de amistad, la responsable de que podamos acribillar a cualquier usuario a mensajes privados, como si hubieran aceptado nuestra solicitud.

El funcionamiento es muy simple, cuando una persona se interesa por la foto que tenemos publicada, nos aparece un banner encima de la suya, con el siguiente recuadro en rojo.

 

Si aceptamos la petición, automáticamente se agregará a nuestro listado de “coincidencias”, con lo que tendremos el privilegio de poder charlar con ella. Lógicamente si hacemos clic en “No”, pasaremos a la siguiente imagen sin aceptar a nadie. Las demás imágenes, aparecerán en caso de terminar con las peticiones de amistad sin ningún tipo de banner, con lo que se entiende que al presionar en “Si”, estaremos enviando nuestra propia petición a los demás participantes.

Pongámonos en el caso, de que la chica a la que siempre enviamos el “Si”, jamás acepta nuestra petición por razones obvias (para ella) ¬¬.

 FOR EXAMPLE…



El fallo reside en las variables que enviamos mediante el método POST, detrás de cada clic sobre los botones “SI” y “NO”. Con lo que si presionamos sobre el “SI” y tampeamos la petición, nos encontraremos con los siguientes parámetros:
“codigodeusuario=” con el que identificaremos a la persona.
“Invitado=” si dicha persona nos envió solicitud.
“Aceptado=” si ya somos amigos del usuario.
“Logueado=” si actualmente está dentro de la sesión.
“sexo=” Femenino o masculino.
“OrientacionSexual=” para gustos colores.
“Conocer=” Si deseamos conocer o no a la persona, “S” o “N”.

Modificando al vuelo el valor de “Invitado=”, sobre el usuario que presionemos “SI”, podremos auto-invitarnos para aceptar a cualquier usuario. Tan solo incluyendo una “S”, conseguiremos agregarlo a nuestra lista de coincidencias. 




La modificación, hará que la página cambie su alerta y consigamos agregar a los usuarios, sin confirmación de su parte. 




Ahora sí, podremos ir de aguilillas sin miedo, pues contaremos con la posibilidad de contactar con los miles de usuarios registrados.


Los mensajes se enviarán, gracias a que en sus perfiles, también apareceremos como agregados.



Si nos portamos mal, quizás nos dé para programar un worm...(A Burpear! a Burpear!) No se imaginan mi colección… ;)




Mientras que el guantazo por internet no duela, se puede decir que estaremos a salvo de hacer el ridículo… o no.




Saludos 4n4les! ;)

20 comentarios:

  1. Me paso a diario, o quasi, xD, por tu blog, a echar un ojillo. Me ha hecho gracia lo fácil que es trampear esto, voy a ver si encuentro ese tamper, pero una cuestión... Si usarámos el Charles, podría dar el mismo resultado? Si hackea el cityville on the fly, esto tendría q estar chupado, no? Jarlaxle

    ResponderEliminar
    Respuestas
    1. No conocía Charles, últimamente me aficioné al Burp Suite, aunque existe otro similar llamado ZAP y este sí es gratuito... con el tema de cityville estoy perdido jejej posiblemente con Wpe Pro consigas algo...

      Saludos!

      Eliminar
  2. jajaja.., a Burpear a Burpear brbrbrbrbrbrrrrrrrrrrrr!!!
    Que grande Alemán!!

    ResponderEliminar
    Respuestas
    1. Vaaaamos Jhonyyyyy! aaah fo**ar aah fo**arrr!!! jajajaj nos vemos el lunes en Macdonals! =D

      Eliminar
  3. jajaja eso esta chingon!!!
    Buena entrada 4n0

    /El tamper data es como un addon para firefox,

    Saludos y gracias bro ahora si lo pondre a todo lo que da esto que nos compartes. ñ.ñ

    ResponderEliminar
    Respuestas
    1. Muchas gracias Anónimo! jeje me alegro que te guste =)

      Eliminar
  4. jajajaja muy divertido ya hacia falta una entrada como esta.

    ResponderEliminar
  5. Muy buena entrada German, me parece vergonzoso que se avise a los administradores etc y que pasen olimpicamente, es de coña.

    Gracias por la entrada.

    ResponderEliminar
    Respuestas
    1. Realmente Chema avisó del fallo, pero no contestaron y bueno... a ligar sea dicho =)

      Eliminar
  6. Al final no hubo trio ¿no? jaaaajajaja.

    La red está plagada de estos errores de validación, recientemente yo encontré varios así en una web de un subdominio de la educación de aquí en españa, y también avisé y ni caso... Al parecer no les importa que todos los datos personales de los profesores se puedan filtrar :$ xD

    ¡Buena entrada Germán!, ya te vale, me llamas y no me avisas que habías publicado una entrada, me he tenido que enterar por tuenti! -_- xD

    ResponderEliminar
    Respuestas
    1. jajaja hay que tirar fichas por la red! para algo está!!

      Dejé un mensajito en la administración de inde! hablamos luuuuego! =D

      Eliminar
  7. Muy bueno Ano, ya crei que no volvias a poner entradas en el blog.

    ResponderEliminar
  8. Buenisima entrada, ya hacia falta una como estas.

    ResponderEliminar
  9. Buen teabajo , la verdad es q siempre me sorprendes , nunca cambies Gérman y nunca nos abandones a tus pequeños fans :-$ , Cuiidate y sigue así.

    ResponderEliminar
    Respuestas
    1. Muchas gracias Óscar Gálvez! seguramente algún día me pase por el foro para saludar!

      Saludos! =D

      Eliminar
  10. si no me equivoco este post es de chema en www.elladodelmal.com ??

    ResponderEliminar
    Respuestas
    1. Hola Anónimo! échale un buen vistazo al post de Chema!

      Saludos! ;)

      Eliminar