Un Lagarto Abuhardillado

Seguridad Renault

Esta tarde me metí en la página de la universidad para comprobar si habían subido una nota de una asignatura (la respuesta fue que no, estaba cantado siendo domingo). Ya cuando iba a salir de la página vi que el comportamiento del formulario de acceso era bastante raro, esto que piensas, «Yo lo hubiera hecho de otra manera». Y te pones a probar, a añadir cositas a la URL cuando de repente, bingo, consigues acceder a la aplicación web saltándote el necesario log-in. Probé en diferentes navegadores (con el modo privado activado) y diferentes sistemas consiguiendo entrar con la misma alteración.

Conseguí acceso a las notas de todos los alumnos independientemente de la carrera o el curso y a una unidad de red. Vamos, que aquello es una chapuza.

Cuando vi que funcionaba igual siempre ya envié un correo a la gente que administra el sitio y con copia a un profesor de estos majetes con los que te cruzas 35 correos comentando una presentación de Apple y que da la casualidad que lleva años dedicándose a la seguridad (implantando redes en bancos y tal). Yo, de buena fe, con la única intención de que lo arreglaran.

La respuesta de los técnicos es que no se habían dado cuenta y lo solucionarán en cuanto puedan. La del juanker maestro,

Hola adrian

Currandotelo un poco mas y aplicando un ataque de fuerza bruta podrias ganar acceso root y cambiar las notas.

Un saludo.

Enviado desde mi iPhone

Y joder. Porque he avisado ya al resto, pero no me digáis que no es tentador forzar un poco. Igual conseguía salir en el periódico.

Visto en: Divertidos métodos GET que trabajan a medias.

Comentarios

11 respuestas a «Seguridad Renault»

  1. Avatar de Bea
    Bea

    Todavía estás a tiempo de comprobar si el mismo fallo ocurre en la ULE =P Y si pasa, te aviso cuando salgan las notas del examen del lunes.

    (Qué majete el profesor, yo no tengo de esos, creo).

    Responder
  2. Avatar de mss. Tibbetts
    mss. Tibbetts

    Yo tampoco tengo de los majetes, pero si de los que ponen las notas en la madrugada del sábado al domingo… de los mejores desayunos domingueros que recuerdo.

    Responder
  3. Avatar de Ellohir
    Ellohir

    Si el profesor no era de redes no le veo la gracia xD

    Responder
  4. Avatar de Jota
    Jota

    ¿Y dónde dices que venden profesores así?

    Responder
  5. Avatar de Hugo
    Hugo

    Lo triste es que esto que comentas es muy habitual.

    En mi universidad pasaba lo mismo, y lo que es mejor, era trivial acceder a los directorios FTP privados de los profesores, donde en ocasiones había material muy interesante, como las soluciones a un exámen que aún no se había realizado (programaban la publicación de las soluciones antes de la celebración, de modo que el fichero ya estaba allí) o las transparencias y temarios del algún idiota que se negaba a compartirlos por su propia voluntad.

    Pero curiosamente el tema de las notas sí estaba controlado e iba por otro lado, desde la web sólo se podían hacer consultas.

    La mejor forma de explotar estas vulnerabilidades es tratar de venderlas como servicios a otros alumnos, si las usas para tu beneficio las posibilidades de que te pincen creecen como la espuma.

    Responder
  6. Avatar de Ponzonha
    Ponzonha

    Creo que la respuesta del profesor merece todo un aplauso. No puede haber más WIN en menos palabras.

    Responder
  7. Avatar de Aloisius
    Aloisius

    Ya se te veía venir que eras un Jáquer de los peligrosos, desde que, haciendote pasar por Juanito me robaste el blog.

    Responder
  8. Avatar de Fi2
    Fi2

    Ya te lo dije ayer, ahora te tengo miedo!

    Responder
  9. Avatar de rehtse
    rehtse

    si que es majete el profesor, sí, atención al control de tus notas, no vaya a aplicar sus enseñanzas XD

    Responder
  10. Avatar de ElGekoNegro
    ElGekoNegro

    Ellohir; sí, sí, claro que es el Redes. El que las implanta y el que las corrompe. Un alumno de Ritchie (literalmente). Un auténtico fuera de serie.

    Hugo; aquí las notas se muestran en un PDF generado con PHP, así que cambiando esa página podríamos coger los datos de la base y en lugar de hacer un inofensivo SELECT realizar un UPDATE en la base, o algo menos destructivo y más loco, hacer que los PDF se generaran con datos aleatorios, no sé, rollo «¡Coño!, ¡he sacado un -3! Y Marquitos un «Tu madre es una gorda»Â». Divertido.

    Aloisius; ¡qué buena fue aquella!

    Fi2; no, mujer, si lo primero que hice fue avisar a las autoridades competentes. Mucho tipo duro pero luego ya se me ve el plumero. Todo imagen.

    Responder
  11. Avatar de Hugo
    Hugo

    ElGekoNegro, hombre, muy heavy me parecería que el usuario de las consultas con las que se genera el PDF tenga permisos de escritura en la BD. Aunque, si lo pienso bien…

    Responder

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *