Portada
Hace 14 años | Por --119894-- a diazr.com
Publicado hace 14 años por --119894-- a diazr.com

Detalles de la vulnerabilidad de Tuenti

 diazr.com

El equipo de Tuenti ha puesto fin a la vulnerabilidad de la que hablé pasados cinco días de su advertencia. Ahora, os voy a contar la historia de cómo surgió todo y de como un trabajo de investigación conjunto y en tiempo libre puede dar muchos frutos. Algunas aclaraciones sonarán evidentes (e incluso estúpidas) para cualquier iniciado en el campo, pero mi intención es que lo entienda el mayor número de personas posible (ya que el perfil del visitante de este blog no es necesariamente techie).

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 48 36

Comentarios

D
editado

#1 la vulnerabilidad ya a sido a arreglada, pero paso a explicarte que riesgo tenia antes de que la arreglaran:

Cualquier usuario mal intencionado, con solo insertar en el perfil de cualquier usuario un comentario (con un código) podía hacer varias cosas (como dar de baja la cuenta, cambiar el email,...) y además este código se propagaría automáticamente a todos los amigos de se usuario, y así sucesivamente...

Han pasado 5 dias desde que los de Tuenti fueron avisado, en esos 5 días se podría haber hecho un daño muy grande a la famosa red social.

Espero habértelo aclarado mejor.

V 13
K 121
D
autor
editado

#6: Jamás he enviado un meneo de él @r0uzic simplemente me pasó el link, me interesó (seguí muy de cerca el tema de tuenti) y lo envié... ¿O es spam interesarse por los post de un amigo?

V 4
K 39
Tanatos
editado

Muy Relacionada: Vulnerabilidad crítica en Tuenti

Hace 14 años | Por Tanatos a diazr.com
Publicado hace 14 años por Tanatos a diazr.com

Vulnerabilidad crítica en Tuenti

 diazr.com

V 1
K 32
D
editado

#18 lamentablemente no, eres de los muchos que desean el mal ajeno

V 3
K 26
f
editado

La gracia en sí, está en el hecho del duro trabajo de investigación, ya me los veo chupandose tutoriales para no cagarla al presentarla, cuando con cualquier scanner de vulnerabilidades web (vease nikto) la hubiese cantado al momento y con explicación para tontos.

Tuenti la tiene bastante más grave con el logout de los usuarios y no, no la subsanaron, sino que la empeoraron. Pero es la historia de siempre.. a alguien le importa algo tan lamentable como tuenti?

Si petase me reiría como cosa de 10 seg y acto seguido se me olvidaría.

V 3
K 26
D
autor
editado

#3 No soy el propietario del blog, ni gano dinero anunciandolo aquí

V 2
K 23
Stash
editado

Pero siguen si poner la política de privacidad y las condiciones legales en la página de incio

V 1
K 21
f
editado

#27 percibes bien...

V 2
K 20
unf
editado

#24, ¿por qué es lamentable? ¿Porque lo usa mucha gente?

V 1
K 15
f
editado

#21 sí tio, en el MIT creo, de hecho pasandome ahora por securityfocus.com ponian que la presentación de esta vulnerabilidad sería la charla estrella de la próxima DEFCON...

V 1
K 12
f
editado

Ni que hubiese descubierto oro... lo que es una coña es el trabajo de investigación al que hace referencia, debió ser muy duro! anda que los hay flipados...

V 1
K 12
f
editado

#31 percibo un sarcasmo

V 1
K 12
c
editado

#27 Qué sagaz.

V 1
K 12
miau
editado

¿Soy el único que desea que se la claven muy adentro?

V 0
K 12
saludmoreno
editado

Muchas gracias por tu explicación scromega!

V 0
K 8
D
editado

Es cierto que hoy en día es dificil encontrar algun XSS en webs bastante populares, pero de ahi a darle tanto bombo...

Aunque sí puede suponer un secuestro de datos parciales de los usuarios, no representa un fallo en sí para la página web.

V 0
K 8
saludmoreno
editado

Hola! Acabo de leer la entrada de tu blog... Me interesa mucho el tema de las redes sociales pero al leer tu texto siento comunicarte que no he entendido ni papa lol -no tengo una gran idea a esos niveles de informática-.

Podrías comentarnos cómo nos afectan esas "vulnerabilidades" a los usuarios de tuenti?

Muchas gracias! ^^

V 0
K 8
D
editado

Tuenti es una _u__ m___da.

V 0
K 8
saludmoreno
editado

#9 y #10 Lo siento, es que soy nueva... lol

V 0
K 8
Candidatas
24
meneos
ocio "Unos Nirvana de barrio": cómo The Offspring logró vender 40 millones de discos sin la ayuda de nadie
27
meneos
actualidad Profesora de economía de la Universidad de Emory pregunta por el arresto de un estudiante y es violentamente arrestada [Eng]
24
meneos
tecnología Tesla se dispara un 12% en Bolsa tras anunciar coches "más asequibles" para 2025
57
meneos
actualidad Por cada like una persona o grupo de personas que han sufrido “lawfare” pero en general no ha importado o se ha aplaudido porque no eran políticos
26
meneos
fÓsiles Este salmón prehistórico gigante tenía dientes como colmillos de jabalí
87
meneos
politica Rueda sigue los pasos de Feijóo y reparte dos millones de euros de la Xunta entre los medios afines al PP
45
meneos
politica Presidenta del Colectivo de Víctimas responde a Muñoz (PP): "Lo que es una tomadura de pelo y un insulto a las víctimas de ETA es lo que está ud. haciendo. Deje de utilizarnos"
25
meneos
actualidad BYD está hablando con España para abrir una segunda fábrica en Europa
71
meneos
actualidad Francia decreta toques de queda para los menores de 13 años por el aumento de la inseguridad en las calles
D
editado

#24 Nikto + inguma/python-scapy = Diversión con Tuenti.Bendito linux que me pone las herramientas de análisis al alcance de aptitude(8)

V 0
K 6
f
editado

#30 o Wikto, o FASTHTTPvulnerabilityscanner para windows o Nessus, o OpenVas, tanto para Unix, Linux o windows. Lo que sobran son herramientas. Los que se desarrollan cosas serias no miran banderitas ni luchas estúpidas entre sistemas, se preocupan de conocerlos. Las prefieres rubias o morenas? o solo te importa que esten buenas?.

V 0
K 6
f
editado

#34 y perdón por el Offtopic , podemos hablar de física y química , la serie, así recuperamos el olor a tuenti.

V 0
K 6
D
editado

#33 Yo no me decanto por uno o por otro; me refiero que gracias a Synaptic tengo esas herramientas disponibles fácilmente,ya se que en Windows hay tambien más.Eso si,esto me ha recordado mi epoca de adolescente leyendo e-zines de SET... (ahora lo que toca es crackear redes WIFI, lo hago casi por hobby )

V 0
K 6
Neofito
editado

#22 percibo un sarcasmo

V 0
K 6
D
editado

LFI

http://talento.tuenti.com/?lan=es../../../../../../../../../../../../../../../etc/passwd%00

V 0
K 6
f
editado

#25 No, de hecho estoy encantado que se así, siempre es bueno tener de referencia redes como tuenti o badoo, para saber con quien no tratar. Eso y la cantidad de información personal que les encanta dar en ambos sitios... me parece de lo más divertido.

V 0
K 6
c
editado

#20 Por poco le dan una beca y todo lol

V 0
K 6
j
editado

Ya que todos nos alarmamos con la noticia del fallo de Tuenti es bueno que ahora se divulge esto y cese la alarma.

Saludos a los tuentusers.

V 0
K 6
MacMagic
editado

Bueno, para la gente que hay en el Tuenti, creo que ni se dieron cuenta de esa vulnerabilidad o si lo dices seguro que te contestan el típico: bueno y a mi que me importa .

Meneo porque me a parecido interesante y para mi bien explicado.

V 0
K 6
D
editado

Haciendo pruebas e provocado que nadie, ni siquiera yo mismo pueda entrar a mi perfil.

Cagüenlaputa lol lol lol

V 0
K 6
a
editado

arrrg

V 0
K 6
r
editado

#9 esto no es Jisko lol

V 0
K 6
D
editado

#5 de nada, ya que@outime no esta, te lo explico yo

V 0
K 6
a
editado

#7

V 0
K 6
a
editado

#4 ninguna de las dos, pero si estas muy influenciado por el propietario

V 4
K -13
a
editado

spam pam pam pam lol

V 12
K -93