Llamarle a esto hack o fallo... Madre del amor hermoso. Es como si yo cojo el firebug y le cambio el texto y las imágenes a una web... en mi pc. Porque esto lo que cambia es el texto que te muestra a tí, no el que ven los demás. Mirad que juaker soy con la web del marca, que pedazo de fallo!
#45: La diferencia es que lo que hagas con el Firefeature Firebug no sale de tu ordenador, y lo de esta Web SI se puede salir del ordenador, mediante una URL con el texto adicional.
A veces incluso se puede añadir texto totalmente mimetizado y con enlaces maliciosos (con el código añadido), haciendo creer a la víctima que introducen sus datos en una web legítima y resulta que es para PWNearles alguna contraseña o algo.
#36 No es un fallo de seguridad. Si no se pusieran ese tipo de parámetros en la url, no se podrían enlazar directamente algunas páginas. Si no, dime cómo te enlazo directamente a este senador:
El parámetro distingue a un senador de otro. Si se oculta, ¿cómo lo enlazo?
No te ofendas, pero en este caso concreto, lo que dices es un ejemplo de seguridad mal entendida, porque son parámetros de consulta de información pública. Si con estos parámetros se intrudujera información en una BD, sí que podría ser problemático, pero usar parámetros en la url no es malo per sé.
#49 Una cosa es decir que por cuestiones de SEO es mejor usar URLs limpias y otra cosa es decir que usar parámetros es inseguro. Estoy de acuerdo con lo primero, no con lo segundo.
De hecho, cuando usas URLs del tipo SEO friendly generalmente estás reescribiendo mediante htaccess, pero los parámetros siguen ahí. Por ejemplo:
"
Hackean el nuevo web del Senado con mensajes sobre Mourinho
El nuevo web del Senado, que ha costado cerca de medio millón de euros, fue hackeada en la mañana de este lunes, permitiendo a los usuarios introducir mensajes en la misma. Varios de ellos hacían referencia al entrenador del Real Madrid. "Mourinho, entrenador vitalicio plenopotenciario" o "Mou se la saca again", se ha podido leer"
Se ha podido leer dice, para cagarse. Ya me veo al "periodista" dándole al f5 para "ver" nuevos mensajes.
Es como hacerle un truco chorra de magia a un niño.
#4 Soy desarrollador web y que una página web del gobierno exponga sus variables (?id=) en la URL te aseguro que es una falla de seguridad. Si es vulnerable o no eso habrá que comprobarlo (XSS o SQL Injection)
La variable "id" de todas formas la tienen absolutamente todas las webs del mundo. El verdadero error está en exponerla. Que el atacante pueda saber en que parte de la aplicación se usa esa variable. Es decir, darle un punto desde donde explotar una vulnerabilidad.
#41 Como dije me parece una falla de seguridad, no una vulnerabilidad per se. Dado que Exponer variables más una mala configuración o una mala programación puede dar lugar a vulnerabilidades serias (XSS, Injección SQL, ...) Me parece que como mínimo no es lo más seguro...
Por seguro google no comprometerá su seguridad exponiendo variables. Aún así pienso que no debería hacerlo. Pues además de la seguridad hay más motivos para no usar este tipo de URL's (Smart URL's o SEO Friendly URL's) Jeje
Me asalta una duda: si la prensa catalana escribe "el senat espanyol" o "el congrés de diputats" en su idioma, ¿por qué me llaman a mí facha cuando digo "la Generalidad Catalana"? Gracias.
Seria interesante conocer que limites a las expresiones regulares han puesto en el campo ID , porque no es cierto que escriba todo lo que quieres, hay cierto tipo de caracteres que no se pueden escribir.
#29 Tendrán un filtro para todas las llamadas que no deje pasar cosas raras en llamadas GET y POST, para evitar SQL-Inyection y demás. Si mandas texto plano, te dejará poner lo que quieras.
Lo de elegir idiomas como el catalán el vasco el gallego o el valenciano, es digno de una clase política, la nuestra, aún por desasnar (con perdón para los asnos).
#30 A mi como si está en suahili total para lo que sirve, pero lo de catalán y valenciano, me parece una ofensa a los baleares y a los andorranos a los del Alguer etc.
Comentarios
Os gastais 500 000 leuros para esta mierda.
#6 Que no es mierda, que ya han dicho que es democracia..aunque bien pensado lo que tenemos aquí más o menos es lo mismo.
#6 #14 #17 #23 vais a ir al infierno por herejes
#6 bueno, pues entonces es una web muy democrática; bien vale el sobreprecio.
No modificamos nada, es el típico URL que muestra el texto no hallado en pantalla, no tiene relevancia alguna.
http://www.senado.es/web/composicionorganizacion/senadores/composicionsenado/senadoresenactivo/consultaordenalfabetico/index.html?id=Hola_aunque_lo_parezca_esto_NO_es_un_fallo_grave
Sensacionalista.
Como diría Steve Jobs "it's not a bug, it's a feature"
#20 Es una frase mítica en la historia de la informática, que seguro que la mencionaron muchos antes que Jobs. Aunque creo que para este bug no vale la excusa
https://en.wikipedia.org/wiki/Undocumented_feature
¡Mira, mamá, soy hacker!
http://www.senado.es/web/composicionorganizacion/senadores/composicionsenado/senadoresenactivo/consultaordenalfabetico/index.html?id=Hola%20amigos,%20soy%20de%20Anonymous%20y%20acabo%20de%20hackear%20esta%20web%20que%20nos%20ha%20costado%20tant%C3%ADsimo%20dinero.%20PWNED%20PWNED%20PWNED%20PWNED%20PWNED%20PWNED%20PWNED%20PWNED%20PWNED%20PWNED%20PWNED%20PWNED%20PWNED%20PWNED%20PWNED%20PWNED%20PWNED%20PWNED%20PWNED%20PWNED%20PWNED%20PWNED%20PWNED%20PWNED%20PWNED%20PWNED%20PWNED%20PWNED%20PWNED%20PWNED%20PWNED%20PWNED%20PWNED%20PWNED%20PWNED%20PWNED%20PWNED%20PWNED%20PWNED
#20: Diferencias entre bug y feature: https://www.google.es/search?q=bug+feature&hl=es&safe=off&client=firefox-a&hs=1mv&rls=org.mozilla:es-ES:official&prmd=imvns&tbm=isch&tbo=u&source=univ&sa=X&ei=wv-gUILRD9TZ0QWZmoHYCw&ved=0CCUQsAQ&biw=1280&bih=920
¿Si solo puedes verlo tú es un hack?
Es como decir que te permite cambiar los estilos css. Errónea.
Un par de análisis.
http://www.pedroventura.com/desarrollo-web/la-nueva-timo-web-del-senado-que-cuesta-medio-millon-de-euros/
http://www.social4u.es/content/an%C3%A1lisis-de-la-web-del-senado
Me temo que esta noticia es errónea.
#10 Totalmente de acuerdo, o cuanto menos, sensacionalista...
El fallo recuerda mucho a esta web donde pones delante de esgay.com lo que quieras y aparece en el texto de la web
http://mariano.rajoy.esgay.com/
Llamarle a esto hack o fallo... Madre del amor hermoso. Es como si yo cojo el firebug y le cambio el texto y las imágenes a una web... en mi pc. Porque esto lo que cambia es el texto que te muestra a tí, no el que ven los demás. Mirad que juaker soy con la web del marca, que pedazo de fallo!
#45: La diferencia es que lo que hagas con el Firefeature Firebug no sale de tu ordenador, y lo de esta Web SI se puede salir del ordenador, mediante una URL con el texto adicional.
A veces incluso se puede añadir texto totalmente mimetizado y con enlaces maliciosos (con el código añadido), haciendo creer a la víctima que introducen sus datos en una web legítima y resulta que es para PWNearles alguna contraseña o algo.
Se podría mirar si se puede usar para hacer XSS, pero no creo ni que sea el caso, porque no deja ni poner el símbolo de apertura de tag
http://www.senado.es/web/composicionorganizacion/senadores/composicionsenado/senadoresenactivo/consultaordenalfabetico/index.html?id=rapido,%20pulsa%20alt%20f4
Soy juanker
Insisto, me parece que esta pieza es errónea. No digo que lo sea, digo que lo parece. http://www.senado.es/web/composicionorganizacion/senadores/composicionsenado/senadoresenactivo/consultaordenalfabetico/index.html?id=meneadores_no_os_dejeis_enganar
#36 No es un fallo de seguridad. Si no se pusieran ese tipo de parámetros en la url, no se podrían enlazar directamente algunas páginas. Si no, dime cómo te enlazo directamente a este senador:
http://www.senado.es/web/composicionorganizacion/senadores/composicionsenado/fichasenador/index.html?id1=14025&legis=10
El parámetro distingue a un senador de otro. Si se oculta, ¿cómo lo enlazo?
No te ofendas, pero en este caso concreto, lo que dices es un ejemplo de seguridad mal entendida, porque son parámetros de consulta de información pública. Si con estos parámetros se intrudujera información en una BD, sí que podría ser problemático, pero usar parámetros en la url no es malo per sé.
Esto, si acaso, podría ser una curiosidad, no un "hack" ni mucho menos una noticia de actualidad - política. Voto sensacionalista.
#49 Una cosa es decir que por cuestiones de SEO es mejor usar URLs limpias y otra cosa es decir que usar parámetros es inseguro. Estoy de acuerdo con lo primero, no con lo segundo.
De hecho, cuando usas URLs del tipo SEO friendly generalmente estás reescribiendo mediante htaccess, pero los parámetros siguen ahí. Por ejemplo:
Esta URL limpia http://blog.meneame.net/2006/11/14/la-micro-fisgona-para-noticias/micro-fisgona/
se sigue pudiendo acceder así:
http://blog.meneame.net/?p=21
Mientras filtres las llamadas GET, tendrás seguridad. Y si no filtras los llamadas, por usar URLs "bonitas" no te vas a librar de un ataque.
http://www.senado.es/web/composicionorganizacion/senadores/composicionsenado/senadoresenactivo/consultaordenalfabetico/index.html?id=Senadores+en+activo?Ja+Ja+Ja
Pero lo que escribas solo lo ves tú o alguien que acceda con esa url modificada, es una chapuza, pero tanto como agujero de seguridad...
Periodista mentirosoooo
www.marca.com/2012/11/12/futbol/equipos/real_madrid/1352752495.html
"
Hackean el nuevo web del Senado con mensajes sobre Mourinho
El nuevo web del Senado, que ha costado cerca de medio millón de euros, fue hackeada en la mañana de este lunes, permitiendo a los usuarios introducir mensajes en la misma. Varios de ellos hacían referencia al entrenador del Real Madrid. "Mourinho, entrenador vitalicio plenopotenciario" o "Mou se la saca again", se ha podido leer"
Se ha podido leer dice, para cagarse. Ya me veo al "periodista" dándole al f5 para "ver" nuevos mensajes.
Es como hacerle un truco chorra de magia a un niño.
He dudao en ponerlo en actualidad/política o en tecnología/seguridad
Esto es un "agujero"?
Vale, que si, que es un error... pero tanto como un "hack" como pone en las etiquetas...
#2 Ya esta bien en actualidad/política, en tecnología/seguridad sería ridiculo:
"uy! he cambiado un valor de un parametro de una url y ahora, en vez de salir lo que toca sale el valor que he puesto! menudo hacker que soy!"
Eso sí, una web tan cara no debería tener estos fallos.
#4 estaría bien probar a ver si resiste una inyección de código
#8 Eso sí que sería un agujero, no modificar un parametro y que no funcione...
#4 Soy desarrollador web y que una página web del gobierno exponga sus variables (?id=) en la URL te aseguro que es una falla de seguridad. Si es vulnerable o no eso habrá que comprobarlo (XSS o SQL Injection)
La variable "id" de todas formas la tienen absolutamente todas las webs del mundo. El verdadero error está en exponerla. Que el atacante pueda saber en que parte de la aplicación se usa esa variable. Es decir, darle un punto desde donde explotar una vulnerabilidad.
#36 ¿Por qué es un fallo de seguridad exponer las id en las URL? Lo hace casi todo el mundo, por ejemplo:
https://www.google.com/search?q=coches&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:es-ES:official&client=firefox-a
#41 Como dije me parece una falla de seguridad, no una vulnerabilidad per se. Dado que Exponer variables más una mala configuración o una mala programación puede dar lugar a vulnerabilidades serias (XSS, Injección SQL, ...) Me parece que como mínimo no es lo más seguro...
Por seguro google no comprometerá su seguridad exponiendo variables. Aún así pienso que no debería hacerlo. Pues además de la seguridad hay más motivos para no usar este tipo de URL's (Smart URL's o SEO Friendly URL's) Jeje
Esta imagen deja bastante clara la diferencia entre una URL digamos antigua y una SEO Friendly URL http://www.seomoz.org/img/upload/anatomy-of-a-url.jpg
#2 Sección "Chapuzas" es que no hay, ¿vrdad? Voto por una.
Esta es la web que ha costado 500.000€?
Me asalta una duda: si la prensa catalana escribe "el senat espanyol" o "el congrés de diputats" en su idioma, ¿por qué me llaman a mí facha cuando digo "la Generalidad Catalana"? Gracias.
#38 Quien te llame facha tiene razones para hacerlo si sigue tu hilo:
Salvados: Dedocracia/c31#c-31
Sánchez-Gordillo en 'El Gran Debate': "En esto me va la salud, pero seguiré hasta que me quede sin aliento"/c103#c-103
Hermann Tertsch una máquina de gastar dinero público : La Tertschmomix/c19#c-19
‘El País’ se jacta en portada de su maniobra para reventar la huelga de los trabajadores/c16#c-16
Condenan a un vecino por recordar a los fusilados en Buñuel en 1936/c15#c-15
Pero sabiendo que eres qtian sobran los enlaces que lo verifiquen porque ya te conocemos.
Facha.
#46 Yo no he sido qtian nunca, chato. El pobre te machacaría si te oyera llamarle eso.
Debe ser bueno el CMS ese de 250.000 euros...
Eso es que están experimentando de nuevo con la democracia
http://www.senado.es/web/composicionorganizacion/senadores/composicionsenado/senadoresenactivo/consultaordenalfabetico/index.html?id=%22Panda%20de%20vagos%20y%20caraduras%22
¿No se podía? ¿Es mala la libertad de expresión?
Yo lo que querría saber realmnte, aparte del medio kilo, es cuánto va a costar el mantenimiento por año, y por cuántos años es la licitación.
Odio tener razon en estos casos:
senadores-realizaron-pasado-ano-18-000-llamadas-telefonicas-902/00037
Los senadores realizaron el pasado año 18.000 llam...
elconfidencialdigital.comSerá "Un agujero" no "Una agujero".
Y es errónea o sensacionalista.
#7 typo... si alguien me lo puede editar... gracias!
#7 Se dice "Una gujero", de la misma forma que "Un arradio", "Un amoto"
Desagradecidos... Encima de que os dan libertad de expresión en internet, le poneis pegas
#44 La web del Senado tampoco está en Aranès...
Seria interesante conocer que limites a las expresiones regulares han puesto en el campo ID , porque no es cierto que escriba todo lo que quieres, hay cierto tipo de caracteres que no se pueden escribir.
http://www.senado.es/web/composicionorganizacion/senadores/composicionsenado/senadoresenactivo/consultaordenalfabetico/index.html?id=%3C%27%3C
#29 Tendrán un filtro para todas las llamadas que no deje pasar cosas raras en llamadas GET y POST, para evitar SQL-Inyection y demás. Si mandas texto plano, te dejará poner lo que quieras.
Lo de elegir idiomas como el catalán el vasco el gallego o el valenciano, es digno de una clase política, la nuestra, aún por desasnar (con perdón para los asnos).
#27 Es verdad, por eso por ejemplo la web del Parlamento Federal de Suiza está tan solo en alemán
http://www.parlament.ch/
#30 A mi como si está en suahili total para lo que sirve, pero lo de catalán y valenciano, me parece una ofensa a los baleares y a los andorranos a los del Alguer etc.
#31 En eso estamos de acuerdo (Castellano)
En eso estamos de acuerdo (Argentino)
En eso estamos de acuerdo (Mexicano)
...
#31 A los andorranos que les importa el gobierno de españa
#30 Mal ejemplo, el romanche o retorrománico es idioma oficial de suiza y la web no está en ese idioma ¿no?