Menéame: comentarios [2084807]

#44 Movistar corrige sin éxito un XSS en su web para evitar la inocentada de bandaancha.eu

--133372-- — Mon, 30 Dec 2013 01:36:38 +0000

#43 Creo que Telefónica no permite la subcontratación de sus sistemas. De todas maneras, en mi caso siempre fue Telefónica -> consultora "grande" y fin.
#37
He trabajado en la consultora encargada de llevar este y otros muchos sistemas de Telefónica. Da pavor ver las movidas que tienen montadas, sobre todo porque son cosas que llevan mucho tiempo parcheándose sin parar. Abundan los fuentes que tienen más líneas de código antiguo comentado que líneas funcionales.

» autor: --133372--

#43 Movistar corrige sin éxito un XSS en su web para evitar la inocentada de bandaancha.eu

tariq.ibn.ziyad — Sun, 29 Dec 2013 21:36:24 +0000

Voy a explicar lo que realmente es la Marca España:
1.- Telefónica contrata a consultora gigante A (del amigo de un jefecillo de Telefónica) a la que paga 150€/h por cada recurso.
2.- Consultora gigante A contrata a consultora mediana B (del amigo de un jefecillo de A), a la que paga 75€/h por cada recurso.
3.- Consultora mediana B contrata a consultora pequeña C (del amigo de un jefecillo de B), a la que paga 35€/h por cada recurso.
4.- Consultora pequeña C busca a un chaval joven en paro de la construcción, al que le paga 10€/h.
5.- Chaval joven sin formación específica "programa" la web de Movistar de aquella manera.

Sic. Esto es totalmente verídico, y por los resultados todos podemos ver que es hasta obvio.

EDIT: El talento español en ingeniería es tremendo, contrastado internacionalmente, y valga este dato para reforzar la explicación anterior.

» autor: tariq.ibn.ziyad

#42 Movistar corrige sin éxito un XSS en su web para evitar la inocentada de bandaancha.eu

EGraf — Sun, 29 Dec 2013 20:43:12 +0000

#19 #25 que parte de la noticia meneada donde dice Hay que resaltar que en ningún momento se ha defaceado, jacqueado o modificado la web de Movistar no entendiste??

» autor: EGraf

#41 Movistar corrige sin éxito un XSS en su web para evitar la inocentada de bandaancha.eu

--188054-- — Sun, 29 Dec 2013 19:48:22 +0000

#38 o, peor aun, que les llevase a una página de alta online donde les pidiesen los datos bancarios con la apariencia de Movistar.

Peor aún: podría llevar a una página de alta online donde les pidiesen los datos bancarios Y FUERA MOVISTAR DE VERDAD

» autor: --188054--

#40 Movistar corrige sin éxito un XSS en su web para evitar la inocentada de bandaancha.eu

--68773-- — Sun, 29 Dec 2013 18:00:40 +0000

XSS, del inglés Cross-site scripting es un tipo de inseguridad informática o agujero de seguridad típico de las aplicaciones Web, que permite a una tercera parte inyectar en páginas web vistas por el usuario código JavaScript o en otro lenguaje script similar (ej: VBScript), evitando medidas de control como la Política del mismo origen. Este tipo de vulnerabilidad se conoce en español con el nombre de Secuencias de comandos en sitios cruzados.

es.wikipedia.org/wiki/Cross-site_scripting

» autor: --68773--

#39 Movistar corrige sin éxito un XSS en su web para evitar la inocentada de bandaancha.eu

Imag0 — Sun, 29 Dec 2013 17:47:22 +0000

Cómo es eso de corregir sin éxito?? Si no ha habido éxito no ha habido corrección, no?

» autor: Imag0

#38 Movistar corrige sin éxito un XSS en su web para evitar la inocentada de bandaancha.eu

bradbury9 — Sun, 29 Dec 2013 17:22:40 +0000

#27 #25

Es un error muy serio y generalmente ignorado. Un fallo de XSS en esa pagina podría provocar que posibles clientes pinchasen en un enlace de una oferta aparentemente seria y que les llevase a una pagina que les instalase malware (virus/troyanos/etc) o, peor aun, que les llevase a una página de alta online donde les pidiesen los datos bancarios con la apariencia de Movistar. Una persona sin conocimientos informaticos podría introducir sus datos y perder dinero, bastante dinero.

Mejor avisarles de esta manera del bug XSS y que lo arreglen en menos de 24h a que lo ignoren y haya personas a las que les perjudique.

#25 Si te informas un poco sobre que es el XSS veras que no implica modificar paginas web. Trata de aprovechar fallos de validacion y seguridad para provocar el efecto que comentas.

» autor: bradbury9

#37 Movistar corrige sin éxito un XSS en su web para evitar la inocentada de bandaancha.eu

Juan_Esmíz — Sun, 29 Dec 2013 17:08:35 +0000

#8 #13 A mi me da grima solo pensar en como debe estar hecha la web por dentro. Ahora algún ejecutivo montará un pollo porque "nos han juankeado la ueb", exigirá encontrar un culpable y acabarán despidiendo a algun currante del nivel más bajo porque si, pondrán un cutre-parche para tapar la vulnerabilidad y todos tan contentos. Cuando la realidad es que la web no tiene solo "un fallo", está mal hecha de arriba a abajo en todos los niveles, y la culpa es de todos los que han intervenido en su diseño (no se si por maldad o incompetencia).

» autor: Juan_Esmíz

#36 Movistar corrige sin éxito un XSS en su web para evitar la inocentada de bandaancha.eu

fayser — Sun, 29 Dec 2013 16:50:26 +0000

La página de movistar es un truño no ya por cómo está hecha, sino porque es un drama encontrar cualquier cosa. Es como un mejunje de publicidad que siempre acaba en el "Movistar Fusion Fibra", busques lo que busques.

» autor: fayser

#35 Movistar corrige sin éxito un XSS en su web para evitar la inocentada de bandaancha.eu

ℵiemand — Sun, 29 Dec 2013 16:44:27 +0000

#34 tampoco nos pasemos, conozco gente muy buena trabajando allí, incluso es posible que alguno haya escrito por aquí y que incluso le haya citado. Cosas de la vida

» autor: ℵiemand

#34 Movistar corrige sin éxito un XSS en su web para evitar la inocentada de bandaancha.eu

andreaciax — Sun, 29 Dec 2013 16:35:20 +0000

Otra fabrica de recomendados ....

» autor: andreaciax

#33 Movistar corrige sin éxito un XSS en su web para evitar la inocentada de bandaancha.eu

trasier — Sun, 29 Dec 2013 16:34:18 +0000

#30 perfecto, gracias.

» autor: trasier

#32 Movistar corrige sin éxito un XSS en su web para evitar la inocentada de bandaancha.eu

--410403-- — Sun, 29 Dec 2013 16:33:58 +0000

#14 Como ya te han dicho, es una mala analogía.

#19 #23 He estado tentado de poneros una herramienta de cracking bastante potente que con XSS o URL's mal formadas o que dan resultados inesperados, se consiguen volcados enteros de usuarios y contraseñas Pero bueno con el interés suficiente supongo que no tardaríais más de 20 minutos en encontrar varias como esa.

Aún me acuerdo del post donde decían... 5000 cuentas de paypal crackeadas O como en vez de sacar el dinero de las tarjetas de credito que crakean las entregan en los foros para que sean otros quienes roben el dinero.

Más o menos lo mismo podría pasar con los datos de los usuarios con una buena vulnerabilidad...

Así que tienen suerte los de telefónica que sea todo en plan de coña.

» autor: --410403--

#31 Movistar corrige sin éxito un XSS en su web para evitar la inocentada de bandaancha.eu

mencabrona — Sun, 29 Dec 2013 16:33:37 +0000

#14 #17 Mas bien es cuando la gente te escribe "cerdo" o "lavalo" con el dedo de los 3 cm de mierda que tienes en el cristal...

» autor: mencabrona

#30 Movistar corrige sin éxito un XSS en su web para evitar la inocentada de bandaancha.eu

Eloy — Sun, 29 Dec 2013 16:30:01 +0000

#25 Te lo voy a explicar, toda persona que entre a la página de movistar no verá nada modificado, es decir verá la página igual que siempre porque la página no se modifica. En cambio si entra por la url de banda ancha verá la oferta falsa porque se se ha pasado como parámetro. Es decir, la página de movistar muestra lo que tu pases como parámetro en la ruta. No se modifica la página simplemente aprovechas que tú puedes pasar lo que quieras en la url de la página de movistar. No se preocupan de validar los parámetros pasados. Solamente la gente que haya entrado por bandaancha o por una url creada al efecto verá la broma.
No sé si me he explicado bien

» autor: Eloy

#29 Movistar corrige sin éxito un XSS en su web para evitar la inocentada de bandaancha.eu

ℵiemand — Sun, 29 Dec 2013 16:28:11 +0000

#28

Exacto, es una feature de ellos, no de nadie.

» autor: ℵiemand

#28 Movistar corrige sin éxito un XSS en su web para evitar la inocentada de bandaancha.eu

XAbou — Sun, 29 Dec 2013 16:25:12 +0000

#25 www.trasier.esgay.com/

No es lo mismo, pero el nombre que usa (tu nick) no está alojado en el servidor, simplemente completa la página con lo que le envías en la URL y te devuelve la página personalizada.

» autor: XAbou

#27 Movistar corrige sin éxito un XSS en su web para evitar la inocentada de bandaancha.eu

ℵiemand — Sun, 29 Dec 2013 16:25:04 +0000

#25 siento el negativo, pero es la forma de corregir los errores ajenos. Nadie modificó nada en los servidores de movistar. Que corrijan el error antes de que venga alguien a liarla de verdad.

» autor: ℵiemand

#26 Movistar corrige sin éxito un XSS en su web para evitar la inocentada de bandaancha.eu

--289787-- — Sun, 29 Dec 2013 16:23:56 +0000

Ya lo han arreglado parece ¿no?

» autor: --289787--

#25 Movistar corrige sin éxito un XSS en su web para evitar la inocentada de bandaancha.eu

trasier — Sun, 29 Dec 2013 16:22:31 +0000

#22 #23 #24

web actual: www.movistar.es/particulares/internet/movistar-adsl/opciones-tarifas/?

web que había con la "inocentada": bandaancha.eu/etneconi.html?landing=2014_broadband_offer

Si no es lo mismo, es distinto, ergo algo se ha modificado.

PD: dejadme de votar negativo, que ni he insultado, ni escribo sobre racismo, ni hago spam...

» autor: trasier

#24 Movistar corrige sin éxito un XSS en su web para evitar la inocentada de bandaancha.eu

XAbou — Sun, 29 Dec 2013 16:20:52 +0000

#19 NO se ha modificado nada, a ver si prestamos mas atención a lo que pone la noticia, simplemente al enviar la url modificada carga una parte distinta de la origina, pero la web sigue como estaba.

» autor: XAbou

#23 Movistar corrige sin éxito un XSS en su web para evitar la inocentada de bandaancha.eu

ℵiemand — Sun, 29 Dec 2013 16:19:30 +0000

#19 no, error, aquí nadie ha modificado nada. Es uno de los graves problemas del XSS y tiene tantos posibles ataques que mejpr que den gracias por éste aviso en clave de humor.

» autor: ℵiemand

#22 Movistar corrige sin éxito un XSS en su web para evitar la inocentada de bandaancha.eu

Anonymouse — Sun, 29 Dec 2013 16:18:15 +0000

#19 No se ha modificado nada. No sabes lo que es un XSS, deja de decir estupideces.

» autor: Anonymouse

#21 Movistar corrige sin éxito un XSS en su web para evitar la inocentada de bandaancha.eu

Sobermil — Sun, 29 Dec 2013 16:11:18 +0000

Este meneo es un casi spam o solo me lo parece a mi ?

» autor: Sobermil

#20 Movistar corrige sin éxito un XSS en su web para evitar la inocentada de bandaancha.eu

errantex — Sun, 29 Dec 2013 16:05:40 +0000

Enlace a la página con las ofertas de la inocentada, que era cargada dentro del contenido de movistar antes de que lo corrigieran:
bandaancha.eu/etneconi.html?landing=2014_broadband_offer

» autor: errantex

#19 Movistar corrige sin éxito un XSS en su web para evitar la inocentada de bandaancha.eu

trasier — Sun, 29 Dec 2013 16:03:46 +0000

#17 se ha modificado una web ajena, obligando a corregir por dos veces lo que se ha cambiado.

» autor: trasier

#18 Movistar corrige sin éxito un XSS en su web para evitar la inocentada de bandaancha.eu

Twilightning — Sun, 29 Dec 2013 16:00:48 +0000

Movistar, una de las peores páginas web junto con la de Renfe y TMB.

» autor: Twilightning

#17 Movistar corrige sin éxito un XSS en su web para evitar la inocentada de bandaancha.eu

ℵiemand — Sun, 29 Dec 2013 15:59:26 +0000

#14 mal ejemplo. Aquí nadie rompió nada.

» autor: ℵiemand

#16 Movistar corrige sin éxito un XSS en su web para evitar la inocentada de bandaancha.eu

HeXmit — Sun, 29 Dec 2013 15:58:16 +0000

#15 ¿Que parece hecha por becarios? ¿Parece?

» autor: HeXmit

#15 Movistar corrige sin éxito un XSS en su web para evitar la inocentada de bandaancha.eu

Eloy — Sun, 29 Dec 2013 15:49:47 +0000

Parece que lo han arreglado, en la línea 1024.
Lo que no entiendo es que siendo una multinacional tengan un página que parece hecha por becarios.

/*Comentado por fallo. Al poner una URL cargaba en el iframe cualquier pagina*/
/*if ((url==null) || (url=="undefined")) {
enlace="/Microsites/adsl-imagenio/adsl/comparador-adsl.html";
}
else {
enlace=url+"&id="+Math.random()+"&origen="+origen+"&consulta="+consulta+"&tipo="+tipo+"&tfno="+tfno;
enlace=enlace+"&tieneAdsl="+tieneAdsl+"&tieneFibra="+tieneFibra+"&tieneImagenio="+tieneImagenio+"&tieneVdsl="+tieneVdsl;
enlace=enlace+"&precoberturaFibra="+precoberturaFibra+"&velocidadAdsl="+velocidadAdsl+"&velocidadVdsl="+velocidadVdsl;
enlace=enlace+"&velocidadImagenio="+velocidadImagenio;
}*/

enlace="/Microsites/adsl-imagenio/adsl/comparador-adsl.html";

» autor: Eloy

#14 Movistar corrige sin éxito un XSS en su web para evitar la inocentada de bandaancha.eu

trasier — Sun, 29 Dec 2013 15:48:30 +0000

#13 siguiendo vuestro argumento, el que un tipo te reviente el coche aparcado en la calle ayuda a que decidas aparcarlo dentro un parking con medidas de seguridad.

» autor: trasier

#13 Movistar corrige sin éxito un XSS en su web para evitar la inocentada de bandaancha.eu

--410403-- — Sun, 29 Dec 2013 15:43:58 +0000

#8 Usar el XSS es la mejor forma de avisar. De otra forma estas empresas no hacen caso y seguirían teniendo dicha vulnerabilidad. El hacking/cracking ayuda a mejorar los softwares.

» autor: --410403--

#12 Movistar corrige sin éxito un XSS en su web para evitar la inocentada de bandaancha.eu

EGraf — Sun, 29 Dec 2013 15:43:01 +0000

#7 no te leiste la noticia??? están avisando perfectamente, inclusive dan el número de línea que tiene el error. Si los de movistar son tan inútiles para no saber arreglarlo no es culpa de los bromistas.

» autor: EGraf

#11 Movistar corrige sin éxito un XSS en su web para evitar la inocentada de bandaancha.eu

ℵiemand — Sun, 29 Dec 2013 15:42:44 +0000

Estas multinacionales tienen bugs de todos los colores. Mi router,de. Movistar, escupe la contraseña de admin sin estar registrado.

#7 normalmente no sirve de nada avisar y la mejor forma de que lo arreglen es ésta.

» autor: ℵiemand

#10 Movistar corrige sin éxito un XSS en su web para evitar la inocentada de bandaancha.eu

ermieldas — Sun, 29 Dec 2013 15:33:04 +0000

#9 En casa del herrero, cuchillo de palo

» autor: ermieldas

#9 Movistar corrige sin éxito un XSS en su web para evitar la inocentada de bandaancha.eu

ochoceros — Sun, 29 Dec 2013 15:31:19 +0000

#7 #8 ¿Y el juanker que contrataron hace meses para evitar estas cosas, qué? www.abc.es/tecnologia/informatica-soluciones/20130607/abci-telefonica-

» autor: ochoceros

#8 Movistar corrige sin éxito un XSS en su web para evitar la inocentada de bandaancha.eu

ermieldas — Sun, 29 Dec 2013 14:33:39 +0000

#7 Bastante feo ser una multinacional con miles de millones de beneficio y ser tan ratas de no pagar una auditoría de seguridad...

» autor: ermieldas

#7 Movistar corrige sin éxito un XSS en su web para evitar la inocentada de bandaancha.eu

filetinfiletin — Sun, 29 Dec 2013 14:14:59 +0000

Bastante feo usar un XSS para hacer una broma en vez de avisar para que lo arreglen.

» autor: filetinfiletin

#6 Movistar corrige sin éxito un XSS en su web para evitar la inocentada de bandaancha.eu

KiKiLLo — Sun, 29 Dec 2013 13:49:08 +0000

hace 10 min (14:35) estaba sin arreglar, Ahora parece que pone 100mb/10 Antes ponía 300mb

» autor: KiKiLLo

#5 Movistar corrige sin éxito un XSS en su web para evitar la inocentada de bandaancha.eu

difusion — Sun, 29 Dec 2013 12:32:44 +0000

Movistar peta: www.movistar.es/particulares/internet/movistar-adsl/opciones-tarifas/?

» autor: difusion

#4 Movistar corrige sin éxito un XSS en su web para evitar la inocentada de bandaancha.eu

difusion — Sun, 29 Dec 2013 12:28:32 +0000

www.movistar.es/particulares/internet/movistar-adsl/opciones-tarifas/?

Movistar way of life

» autor: difusion

#3 Movistar corrige sin éxito un XSS en su web para evitar la inocentada de bandaancha.eu

--9388-- — Sun, 29 Dec 2013 12:23:00 +0000

Condiciones:
- derecho de pernada sobre tu hermana
- donar el higado en vida
- tatuarse el logo de Movistar en tus partes
- bailar hasta morir

» autor: --9388--

#2 Movistar corrige sin éxito un XSS en su web para evitar la inocentada de bandaancha.eu

difusion — Sun, 29 Dec 2013 12:13:51 +0000

Instalación y mantenimiento; otras condiciones:

» autor: difusion

#1 Movistar corrige sin éxito un XSS en su web para evitar la inocentada de bandaancha.eu

sorrillo — Sun, 29 Dec 2013 11:38:51 +0000

Enlace: www.movistar.es/particulares/internet/movistar-adsl/opciones-tarifas/?

» autor: sorrillo