07 enero 2010

Dónde está Wally?

Wally es un personaje de la niñez, con el que algunos nos pegábamos unos buenos ratos desarrollando la mente y sobre todo la vista, así como poniendo a prueba nuestra paciencia para buscar a un tío con un jersey y gorro de rayas.

El tema está en que hacía mucho que no buscaba a Wally y, al hilo de todo el lío que se ha montado con la página de la Presidencia Europea de España 2010, del cual José Antonio Guasch explicó perfectamente los detalles de por qué era viable, qué significaba y qué impacto podía tener el explotar esa vulnerabilidad, se nos ocurrió buscar al alegre Wally en diversos medios de comunicación.

Finalmente, encontramos a Wally,... bueno, o al menos con una pequeña ayuda basada en el mismo tipo de fallo encontrado en la página web www.eu2010.es en unos cuantos sitios... que no sea porque no buscamos eh?

¿Estará por el sur? ¿Habrá pasado por el norte? Por Castilla tiene pinta de haberse dado una vuelta también.... y por Murcia, Extremadura, La Rioja, Cantabria,... madre mía, la verdad es que parece que o le han dado a Wally una subvención para hacer turismo, o simplemente es que en muchos periódicos lo conocen.

La verdad es que este tipo de fallo ha dado muchísimo que hablar, y aunque el impacto en según que tipo de páginas (en las cuales no haya sesiones autenticadas por ejemplo) no sea tan grave como para echarse las manos a la cabeza (sin embargo permiten, en algunos casos, generar contenidos falsos o phishing), y como bien explicó instructivamente José Antonio, no se llegó a comprometer la integridad del servidor web objetivo, da una leve idea de la poca atención que se presta a la seguridad de las aplicaciones web. Es decir, aunque este fallo no tenga un impacto grave da que pensar que si dicho fallo existe, ¿por qué no va a haber otros en la misma aplicación web? y si analizo más detalladamente la web ¿encontraré alguna de la que obtenga algo más jugoso?

P.D: En la búsqueda de Wally no se maltrató ningún animal (ni ningún servidor web).

ACTUALIZACIÓN (08/01/2009): Parece ser que los enlaces de las ciudades en las que Wally ha sido visto ya no funcionan correctamente. Puede que hayan hecho algún cambio o hayan parcheado el código para evitar el XSS. Nos alegra que nuestro post haya ayudado a mejorar la seguridad e imagen de dichas publicaciones digitales.

14 comments :

seifreed dijo...

Buenos días

Si que es bastante fácil encontrar fallos con XSS, es lo más común
Un ejemplo más
http://blogs.badiatech.com/naxonez/2009/12/28/una-de-xss/
Muchísimas páginas no lo tienen filtrado, por suerte al fin y al cabo no es tan grave como un SQL injection

Román Ramírez dijo...

Me parece aleccionador este comentario :) Pero es una batalla perdida, los medios de comunicación son como son, y vende más un titular alarmista y espectacular que una realidad explicada.

Raul dijo...

Para que molestarte en atacar la WEB si usa un DNS de juguete sobre una maquina Debian etch sin actualizar con plesk 9.2 (Usada para hosting compartido) y un servidor Bind sin actualizar .

Anónimo dijo...

Muy buen artículo y muy buen trabajo.

Guillermo dijo...

Jopé, que triste. Nunca pensé que habría tantos sitios con vulnerabilidades XSS. Aunque no sean muy peligrosas, dice mucho del encargado de la seguridad de ese sitio.

Anónimo dijo...

Todas las paginas del XSS pertenecen al mismo grupo? Es que todas son iguales.

Bueno, de todas formas, como nota, decir que (logicamente) las paginas:

Internet explorer 8 da un avisito de XSS firefox se lo come con papas.


teneis vosotros que ver con el galimatias que sale al pie de las paginas??

var queid_master = 'comunidad.larioja.com'; var queid_serv = 'blogs'; var queid_error_func = 'error_login'; var queid_barra_auto = true; var queid_barra_div = 'mensenwat'; function error_login() { // Si no funciona el login con Qué, probamos el login local $$('form[action~=/ap/login/login]')[0].submit(); } function

Lorenzo Martínez dijo...

@Seifreed -> Estamos de acuerdo en que en ciertas ocasiones la vulnerabilidad no es grave, pero ya sienta las bases para seguir buscando, puesto que si has dado con algo tan trivial, es porque no ha pasado el sitio web una auditoría exhaustiva

@ Román -> Gracias por tus ánimos ;D Se han publicado últimamente en varios blogs, sobre lo amarillistas de determinados medios. No obstante es una verguenza el estado de seguridad de sitios "importantes" y no sólo de Administración Pública.

@Raul -> Suena a tópico pero: "La seguridad total de un sistema viene dado por el elemento más débil del sistema completo". Lo que está claro es que a través de un servidor web, puedes obtener un montón de información que, en según que casos, puedes llegar a meter en un lío a la organización objetivo....

@Anónimo1 -> Muchas gracias por la enhorabuena :D

@Guillermo -> Ahí ahí... dejan ver que la gente se toma la seguridad como la última prioridad en las responsabilidades.

@Anónimo2 -> Efectivamente, son todas del mismo grupo, lo cual no quiere decir que otros medios no tengan; simplemente los que usan este CMS (o al menos en la versión expuesta) presentan esa vulnerabilidad. El galimatías que comentas de abajo.... a mí en Firefox no me pasa. Prueba a recargar el enlace de nuevo a ver...

Anónimo dijo...

"vende más un titular alarmista y espectacular que una realidad explicada"
Cierto, y no digamos si ponen la foto de la Pataky. La noticia más leída de esta semana DE LARGO en todos los medios digitales... que publicaron de nuevo la foto en bolas. Supongo que al final es cuestión de generar tráfico, no de informar.
PS La Pataky está buenísima

Lorenzo Martínez dijo...

@Anónimo3 -> Lo llego a saber y pongo la foto de la Pataky en vez de a Wally :D
Si queréis ver a Wally en El Mundo también, os dejo el enlace:
http://ariadna.elmundo.es/buscador/buscador.html?q=%3Cscript%3Edocument.write%28%27%3Cimg%20src%3D%22http://3.bp.blogspot.com/_zEu14PgjWqw/S0UBrp4NoKI/AAAAAAAAAO0/IvChkoMBTvw/s320/wally.jpg%22%20%2F%3E%27%29%3C%2Fscript%3E&sa=%20Buscar%20&num=10&searchselector=0

Israel Martín dijo...

Mi aportación para encontrar a Wally:
http://www.caranddriver.com/search/%253Cimg+src%253D%2522http%253A%252F%252F3.bp.blogspot.com%252F_zEu14PgjWqw%252FS0UBrp4NoKI%252FAAAAAAAAAO0%252FIvChkoMBTvw%252Fs320%252Fwally.jpg%2522%252F%253E

pepe dijo...

Al final la importancia que le den a la aparición de Wallys depende de como lo presentes... Hace un tiempo avisé de un Wally que se había colado en un página de informativos (típico ejemplo alert(5)). No le dieron importancia. Sin embargo, un segundo aviso modificando un titular y pegando una foto si que les llamó la atención y fue reparado.

Es un problema de concienciación... :S

Rafaelmbaez dijo...

Firefox 3.5 tampoco ejecuta ese XSS, asi como IE 8 :)

Esta claro que antes o despues, los navegadores se han puesto las pilas en el tema del XSS

Lorenzo Martínez dijo...

@Israel -> Gracias por tu aportación de un nuevo Wally... Me pregunto yo en cuantos sitios que permiten interactuar con nuestra tarjeta de crédito (y memorizarla) podríamos encontrar a Wally. Posiblemente si supiéramos cuántos, no compraríamos nada online... en fin, sigamos en la ignorancia mejor

@Pepe -> Es como cuando haces una presentación en modo texto o usando powerpoint. Con algo curioso como un Mr. Bean tiene el suficiente tirón mediático.

@Rafael -> Alguna opción tendrás activa (que yo no) porque en FF 3.5.7 sobre Mac lo muestra perfectamente

r0xSoFT dijo...

La AEMET con Obama... xDD

http://www.aemet.es/es/buscador?modo=and&orden=n&tipo=sta&str=%3Ch1%3ESuper-Obama!%3C/h1%3E%3Cimg%20src=%22http://hereticdhammasangha.files.wordpress.com/2008/05/obama_super_obama.jpg%22%20/%3E