ética.(Del lat. ethĭca, y este del gr. ἠθική).
1. f. Conjunto de normas morales que rigen la conducta de la persona en cualquier ámbito de la vida. Ética profesional, cívica, deportiva.
2. f. Parte de la filosofía que trata del bien y del fundamento de sus valores.
No, nos hemos vuelto locos ni pensamos darle un giro lingüístico al blog, tampoco vamos a hablar de 'hacking ético' de whitehats, blackhats y derivados.
Todo esto viene a cuento de una historia que sucedió hace un año con Antena 3 y la Wikipedia, historia que fue ampliamente comentada en barrapunto y del que nuestro ya homenajeado Enrique Dans escribió un interesante artículo.
Sobre ese tema, poco hay que añadir que no esté dicho ya, tan solo sirva como entrada para contar algo 'curioso'.
Navegando por la web de Antena3, topo con un formulario para enviar datos -dejemoslo ahí- y supongo que por una deformación profesional no pude evitar hacer una pequeña evaluación sobre como lo habían implementado, al estilo del simpático Danny Ocean en Ocean's Twelve cuando, estando retirado, entra a un banco para una gestión 'normal' y no puede evitar hacerse una idea de como se podría robar el banco.
El caso es que, ¡ sorpresa ! ese formulario no tiene filtro alguno en el tipo de datos que acepta y para mas inri, luego vuelve a presentarlos al usuario, resultado, un bonito XSS de libro que permite inyectar código Javascript para hacer cosas como esta (la mas inocente posible):
En este punto, podríamos hacer como los redactores de Antena 3, apología del todo-vale, publicar los detalles y una prueba de concepto capaz de ser ejecutada por el mas advenedizo de los usuarios, intentar llegar al Meneame, conseguir audiencia que hagan click en nuestros inexistentes banners publicitarios....
Pero no, no lo vamos a hacer, y eso, se llama ética.
PD: Estaremos gustosos, en caso de que alguien de Antena3 se ponga en contacto con nosotros, de explicar al detalle el problema y su correspondiente solución
Todo esto viene a cuento de una historia que sucedió hace un año con Antena 3 y la Wikipedia, historia que fue ampliamente comentada en barrapunto y del que nuestro ya homenajeado Enrique Dans escribió un interesante artículo.
Sobre ese tema, poco hay que añadir que no esté dicho ya, tan solo sirva como entrada para contar algo 'curioso'.
Navegando por la web de Antena3, topo con un formulario para enviar datos -dejemoslo ahí- y supongo que por una deformación profesional no pude evitar hacer una pequeña evaluación sobre como lo habían implementado, al estilo del simpático Danny Ocean en Ocean's Twelve cuando, estando retirado, entra a un banco para una gestión 'normal' y no puede evitar hacerse una idea de como se podría robar el banco.
El caso es que, ¡ sorpresa ! ese formulario no tiene filtro alguno en el tipo de datos que acepta y para mas inri, luego vuelve a presentarlos al usuario, resultado, un bonito XSS de libro que permite inyectar código Javascript para hacer cosas como esta (la mas inocente posible):
En este punto, podríamos hacer como los redactores de Antena 3, apología del todo-vale, publicar los detalles y una prueba de concepto capaz de ser ejecutada por el mas advenedizo de los usuarios, intentar llegar al Meneame, conseguir audiencia que hagan click en nuestros inexistentes banners publicitarios....
Pero no, no lo vamos a hacer, y eso, se llama ética.
PD: Estaremos gustosos, en caso de que alguien de Antena3 se ponga en contacto con nosotros, de explicar al detalle el problema y su correspondiente solución
0 comments :
Publicar un comentario