28 julio 2011

Vaya por delante que Ricardo Galli es una persona a quien le tengo un sincero aprecio personal y profesional por la cantidad de cosas que ha hecho tanto a nivel técnico como a nivel humano.

Hecho este disclamer, contaremos como un bug tan aparentemente inocente (iframe injection) puede tener bastante repercusión.

Para el que no lo sepa, un bug de este tipo consiste en la posibilidad de inyectar contenido ajeno a un site web haciendo que parezca propio. Este tipo de vulnerabilidades son fácilmente identificables en URLs de tipo Contenido=archivos/documento.html, si un site web emplea este tipo de URLs para cargar contenido, y no ha tenido la precaución de filtrar que esa URL no se convierta en Contenido=http://www.otraweb.com/documento.html, puede ser víctima de este tipo de bugs.

Hace tiempo el polifacético Luis Delgado, localizó un fallo de este tipo en la web de Fundación Autor. Tras valorar la forma mas pedagógica de emplear dicho bug, decidimos crear una supuesta oferta de trabajo redactada al estilo SGAE (click para ver la imagen en grande) y construir una URL que, partiendo del dominio 'madre' fundacionautor.org, cargase nuestra oferta de trabajo.


Como se puede ver, la oferta era en si un despropósito, pero tal y como están las cosas podía sonar creible.

Con eso en la mano le hicimos llegar la información a Ricardo Gallir quien a su vez, la publicó en Twitter


Y en google+



Hasta que Rafael Montagud se percató 'que algo raro había' y tiró del hilo en uno de los comentarios de Google+



Aun así la noticia llegó a la portada de Menéame


Una vez la gente se dio cuenta, la noticia fue descartada, no obstante, suscitó muchos comentarios (merece la pena leerlos)


Y esta es la historia de como un inocente bug que a priori sería catalogado como 'de bajo riesgo' desató esta polémica en la red. 

Añado que, esta vulnerabilidad NO supone compromiso alguno del servidor, tampoco acceso a recursos o ficheros no públicos.

Nuestras disculpas a quien se haya podido sentir ofendido por 'el engaño' y también a Ricardo Galli. Ante todo fair play

12 comments :

Ignacio Lis dijo...

Entono el mea culpa por haber picado también como un incauto, y más aún por no haber sospechado de esa URL tan ofuscadita... Además como noticia era tan tan tan buena que creo que todos quisimos creérnosla. Es más, yo creo que más de uno estuvimos tentados de mandar nuestro CV :P

Me gustaría saber cuántas candidaturas habrán recibido xD

Juan Aguilera dijo...

Pues por lo que veo en la web de fundación autor sí que les han hecho un owned de los de verdad. No sé cuándo se lo hicieron, yo lo he visto ahora.

Juan Aguilera dijo...

¿Alguien que se lo habrá tragado y se ha querido vengar? :P

Yago Jesus dijo...

Esperemos que no hagan un 'pack' con todo

Gonzalo Asensio dijo...

el link de la derecha te intenta entruchar un maravilloso php c99shell!

Jon Souto dijo...

Cierto es.

Graciosa la frase que aparece: "Les mando un saludo desde HONG KONG! ;)"

Jorge Bermúdez dijo...

No se lo tragó sin más, se dio cuenta al poco tiempo.

Miz dijo...

No se lo ha tomado muy bien el Dr. Gallir...

Juan Aguilera dijo...

Pues sí, estaría bien que actualizaran el artículo para incluirlo.

Juan Aguilera dijo...

No tiene porqué. Vosotros no lo habéis hecho, aunque sinceramente, creo que si no hubierais hecho la broma nadie se hubiera dado cuenta de que la web estaba hecha con el culo. xD

Pero vamos, eso no es culpa vuestra.

Yago Jesus dijo...

Bueno, eso no es así, le avisó  Rafael Montagud en Google+ de lo que estaba pasando

Incid3nt dijo...

Buenas,al parecer alguno que otro se dio cuenta.

Saludos,y al parecer estan arreglando la página.


Ante todo,seguridad.