Otro bug de seguridad de tuenti que permitia sacar datos privados cazado a tiempo!!!

Publicado por jgarcia2| Agosto 12, 2009· Deja un comentario

Otro bug de seguridad de tuenti que permitia sacar datos privados cazado a tiempo!!!

Y hablo por segunda vez de otro gran bug de tuenti en el que podía sacar datos como email, contraseñas, numeros de telefono…. para el paso que llevamos un ataque como los que sufren facebook o twitter que son redes sociales mas avanzadas podria cargarse esta gran red social de españa….

Según tuentiadictos.es el fallo era el siguiente:

Cuando se está viendo un perfil público o de cualquier amigo, en la parte derecha nos muestra los amigos de esa persona y en la parte inferior se puede encontrar la opción “Ver todos”, que muestra todos los amigos de la persona que le estamos visitando el perfil y nos aparece escrita una dirección web como la siguiente;

http://www.tuenti.com/#m=Search&func=index
&scope=friends_of_a_friend&other_user=XXXXXXXX

Las X serían el número del usuario al que le estamos viendo sus amigos (solo se pueden ver los amigos para los que tengas permisos)

Utilizando la explicación que en su día dió Pepelux, si le añades al número de usuario código SQL, la página web se cargará si cumple la condición, y no cargará correctamente si no se cumple la condición.

Por ejemplo;

Si se añade …&other_user=XXXXXXXX+and+1=1 , se está cumpliendo que “uno es igual que uno”, por lo que la página se cargará.

Si se añade …&other_user=XXXXXXXX+and+1=0 , no se está cumpliendo que “uno es igual que cero“, por lo que la página no se cargará correctamente.

Si se tiene conocimientos de SQL se puede crear sentencias para ir averiguando el nombre de las tablas de datos y cada una de sus columnas.

Un ejemplo completo en fáciles palabras que permitía sacar la contraseña de cualquier usuario;

“cuenta el número de resultados de la tabla que tiene los usuarios y que el usuario sea el que tiene el código 123456 y su contraseña empieze por H”

select count(*) from registrados where usuario=123456 and substring(contraseña,1,1)=’H’

Si le ponemos la condición de que el número contado sea mayor que cero, solo se cumpliría si es verdad que la contraseña del usuario 123456 empieza con H.

http://www.tuenti.com/#m=Search&func=index
&scope=friends_of_a_friend&other_user=XXXXXXXX+and(select count(*) from registrados where usuario=123456 and substring(contraseña,1,1)=’H’)>0

De esta forma se puede ir probando cada una de las letras o números, la web solo carga correctamente si es el correcto. El proceso se podría automatizar mediante algún programa informático que lo haría rápidamente, aunque para sacar realmente una contraseña se podría hacer a mano en poco rato, ya que las contraseñas en Tuenti se almacenan cifradas en MD5 (32 carácteres en hexadecimal), por lo que cada carácter solo puede ser un dígito o una letra de la ‘a’ a la ‘f’

La inyección fallaba algunas veces, ya que si intentabas acceder directamente a la url con el código de inyección escrito, al precargar la página de Tuenti era filtrado y no funcionaba, por lo que había que hacer el camino de visitar un perfil y pulsar en “Ver todos sus amigos”

Si quieres mas informacion visita:

http://www.tuentiadictos.es/tuenti-tiene-un-fallo-que-permite-sacar-datos-privados/

Compartir este contenido:

Etiquetas: bug seguridad tuenti, cazado a tiempo

Como hacer que google indexe todo el contenido de mi web – Google webmaster tools

Publicado por jgarcia2| Agosto 12, 2009· Deja un comentario

Guardado en: Google, Webmasters

Como hacer que google indexe todo el contenido de mi web – Google webmaster tools

Aquís os dejo este magnífico tutorial que encontré por internet sobre google webmaster tools….

El link para acceder a la herramienta es el siguiente: http://www.google.es/intl/es/webmasters

1. Seleccionamos herramientas para webmasters (incluído sitemaps).
2. Una vez entramos, nos pedirá una cuenta de Google (si no la tenemos, tendremos que crearla).
3. Introduciremos la URL de la web que queremos dar de alta.

webmastertool2

4. y tendremos que subir al FTP donde está alojada nuestra web, el archivo html que nos ofrece google para poder ofrecerte todos los datos. También se puede introducir un código en la página home, pero el primero es más cómodo.

5. Nos aparecerá el siguiente diálogo:

webmastertool3

Como se puede observar en esta imagen ampliada, desde un primer golpe de vista se pueden ver los errores que ha encontrado Google al rastrear nuestra web.

webmastertool4.

En este caso, nos dice que no ha encontrado 523 páginas que anteriormente tenía indexadas. Para poder profundizar en el error, debemos ir a detalles y allí nos indicará cuáles son esas páginas que ahora no encuentra.

Además de las páginas no encontradas, nos ofrece información sobre las páginas webs que tienen enlaces que apuntan a esa página en concreto y lo ideal en estos casos, sería eliminar estos enlaces o cambiarlos por la URL de la página actual.

webmastertool5

Ahora vamos a tratar de explicar qué significa cada apartado del menú:

Visión general: es lo que acabamos de ver. La imagen general del estado de la página, los errores, lo que está correcto..etc.

Configuración: en este apartado debemos de ofrecerle a Google las preferencias que tenemos con respecto a nuestro site: la orientación geográfica (la localización de nuestro público), si tenemos un dominio preferido (con o sin www), si queremos que las imágenes de nuestra web sean asociadas con etiquetas para mejorar la indexación, y frecuencia de rastreo. En este último caso, lo mejor es dejar que Google decida la frecuencia.

webmastertool6

Diagnóstico: se profundiza en lo que habíamos visto en visión general. Si existen errores, nos indicará exactamente donde los ha visto indicándonos si son errores de rastreo web, de contenido o de accesos desde móvil en el caso de poseer este último.

Estadísticas: todo lo relacionado con gráficas y datos numéricos: cuales son las búsquedas más frecuentes de los usuarios que han accedido a nuestra web, cuantas páginas ha indexado Google, enlaces externos, páginas relacionadas con la nuestra, pagerank de nuestras páginas y en el caso de que nuestra web genere feeds, saber cuántos subscriptores tenemos.

Enlaces: un poco más de lo mismo: enlaces internos, enlaces externos y páginas que nos enlazan.

Sitemap: Esta es para mí una de las partes más importantes de la herramienta Google webmaster tool. Se trata de crear un sitemap para informar a Google de las páginas que queremos que nos indexe y las que no.
Para crear un sitemap recomiendo: www.xml-sitemaps.com.
Una vez creado el sitemap (que deberá tener formato xml), debemos darlo de alta en esta herramienta, incluyendo la ubicación exacta del archivo en el FTP.

webmastertool8

Fuente | http://www.canalip.com

Compartir este contenido:

Etiquetas: Como hacer que google indexe todo el contenido de mi web - Google webmaster tools, Google, google webmaster tools, indexar mi web

Como crear una cuenta en google analytics

Publicado por jgarcia2| Agosto 12, 2009· Deja un comentario

Guardado en: Google, Webmasters

Como crear una cuenta en google analytics

Aquí les voy a dejar un completo videotutorial sobre como crear una cuenta en google analytics, parece fácil pero seguro que alguno de vosotros no sabéis…..

Espero que os sirva alguna duda comentar…..

Compartir este contenido:

Etiquetas: crear cuenta, google analytics, videotutorial completo

Wordpress 2.8.4 + traduccion español reyson

Publicado por jgarcia2| Agosto 12, 2009· Deja un comentario

Guardado en: Wordpress

Wordpress 2.8.4 + traduccion español reyson

Hoy 12 de agosto de 2009 wordpress.org lanza otra actualización del conocido cms llamado wordpress, y gracias a reyson tenemos la traduccion a español tambien hay que darle las gracias a reyson por todo lo que está haciendo ya que ultimamente veo en la red pocas traducciones como la suya…..

WordPress 2.8