elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Sigue las noticias más importantes de seguridad informática en el Twitter! de elhacker.NET


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  CSRF en el Logout de Tuenti
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 3 4 Ir Abajo Respuesta Imprimir
Autor Tema: CSRF en el Logout de Tuenti  (Leído 18,960 veces)
dimitrix


Desconectado Desconectado

Mensajes: 4.847



Ver Perfil WWW
CSRF en el Logout de Tuenti
« en: 26 Abril 2009, 20:28 pm »

Este fallo consiste en una desconexión automática de la cuenta cada vez que se conecta el usario y ve su perfil o lo que quieras mediante un mensaje que le has introducido “maligno” por así decirlo, mejora aun cuando al “desconectarse” involuntariamente no puede borrar el mensaje ya que le da error por que no está logeado, así que siempre que entra se cierra.

El problema en cuestión se encuentra en que si accedes a “http://m.tuenti.com/?m=login&func=log_out” se cierra la cuenta, está creado para móviles, con el firefox se puede entrar sin problemas y con el Internet explorer te sale como para descargar así que no es que puedas navegar mucho, pero no pasa nada por que sólo queremos que se envie la solicitud y ni saldrá nada, así que veamos los pasos a seguir.

El primer paso es darse cuenta de que en Tuenti, pasa algo que no se puede poner llamar fallo por que muchas veces es muy útil, y es que al poner una imagen la reconoce automaticamente, pero lo único que hace es reconocer que hay un “http://” y un “.jpg” (u otra extensión de imagen aceptada), por eso la misma imagen la puedes poner de distintas formas:

Código:
    http://www.dmx.es/dmx.jpg

    http://www.dmx.es/dmx.jpg?variable=hola

    http://www.dmx.es/dmx.jpg?

    http://www.dmx.es/dmx?algo=.jpg

Esto puede pasar por dos cosas, una, por descuido de los programadores o por que en algunos servidores se da el caso de variable en php para por ejemplo poner imágenes aleatorias.

Entonces, sabiendo esto, lo único que necesitamos es unir las dos cosas:

httphttp://://m.tuenti.com/?m=login&func=log_out&img=dimitrix.jpg

Esta vez ponemos “&” y no “?” por que estamos uniendo más de una variable, con esta url, simplemente lo dejamos en el tablón de un amigo y cada vez que entre se le cerrará y si intenta borrar el comentario no podrá por que se habrá cerrado la sesión y le dará error.

Una vez, lo pongamos al no ser una imagen, NUNCA se cargará y se quedará parado así:


Bueno, aquí ya estariamos jodiendo a la persona que tiene ese tuenti haciendo que se deconecte cada vez y a los que visitan su perfil.

Solución:

Vas a tu tablón y le das al botón borrar y cuando te salga lo de si estás seguro, abres otra ventana del navegador y entras a www.tuenti.com y te logeas (ya que se habrá cerrado la sesión), una vez logeado NO pasas a ver el tablón ni tocas nada, regresas a donde decía borrar si querías o no y le das a “Aceptar”, entonces el comentario se borrará.

Siendo más cabrón:

También esto se puede hacer en campañas de publicad que ponen, pones eso y todos los que vean el anuncio (miles y miles de personas) se les cerrará la cuenta ya que nadie podrá escribir comentarios nuevos por que se les cerró la sesión y no pueden borrar los comentarios escritos por ti.

Autor: Dimitrix
Fuente: http://seguridad.dimitrix.es/?p=1
« Última modificación: 26 Abril 2009, 20:58 pm por dimitrix » En línea




CICOLO_111234

Desconectado Desconectado

Mensajes: 200

CICOLO_111234


Ver Perfil WWW
Re: Bug en el Tuenti (By: Dimitrix)
« Respuesta #1 en: 26 Abril 2009, 21:14 pm »

jeje...

voy a probar...

salu2
En línea

dimitrix


Desconectado Desconectado

Mensajes: 4.847



Ver Perfil WWW
Re: Bug en el Tuenti (By: Dimitrix)
« Respuesta #2 en: 26 Abril 2009, 21:15 pm »

Ya me cuentas xD
En línea




Jubjub


Desconectado Desconectado

Mensajes: 708


Lay Ladie lay,...


Ver Perfil WWW
Re: Bug en el Tuenti (By: Dimitrix)
« Respuesta #3 en: 26 Abril 2009, 21:44 pm »

xD Ya probe y hasta que reparen eso, va a haber algo de caos si se extiende :xD
En línea

Jugando con Fósforoshacking con un tono diferente


.
porno
odeONeSs

Desconectado Desconectado

Mensajes: 125


programo luego existo!


Ver Perfil
Re: Bug en el Tuenti (By: Dimitrix)
« Respuesta #4 en: 26 Abril 2009, 21:45 pm »

Funciona perfectamente!!! eres un crack!!!
En línea

Cambio de firma de prueba
dimitrix


Desconectado Desconectado

Mensajes: 4.847



Ver Perfil WWW
Re: Bug en el Tuenti (By: Dimitrix)
« Respuesta #5 en: 26 Abril 2009, 22:08 pm »

Muchas gracias, hay más fallos, pero prefiero decirlo poco a poco...

Sí Jubjub, extiende el caos juajajajaja XDDDD

Un saludo y de verdad muchas gracias, mola ver esos animos que me dais, así si que me apetecen publicarlos.

Cuidaros^^
En línea




Jubjub


Desconectado Desconectado

Mensajes: 708


Lay Ladie lay,...


Ver Perfil WWW
Re: Bug en el Tuenti (By: Dimitrix)
« Respuesta #6 en: 26 Abril 2009, 22:16 pm »

Muahahhaha por el momento ya lo meti en un par de eventos, tampoco me dedico a ponerlo en los mensajes principales, pero es muy gracioso ver que se hace el silencio en fotos polemicas, me encanta zanjar discusiones asi, y animo a contarnos cualquier cosa :D
En línea

Jugando con Fósforoshacking con un tono diferente


.
porno
Isótopo

Desconectado Desconectado

Mensajes: 292


Comprende a los demás para comprenderte a tí mismo


Ver Perfil
Re: Bug en el Tuenti (By: Dimitrix)
« Respuesta #7 en: 26 Abril 2009, 22:23 pm »

Eres un crack dimitrix! No hagais lammeradas hombre.. k luego borran los perfiles y a joderse
En línea


-Asus Crosshair IV Formula            
-AMD Phenom II X6 1090T 3.94Ghz @1.38V
-Corsair H70
-Sapphire Radeon HD 6970 2GB Dual-Fan
-G.Skill PIS PC3-17066 4GB 1900MHz 7-9-7-20 @1.65V
-WD Caviar Black 500GB
-Seagate Barracuda Green 2TB x2
-Antec TruePower New 750W Modular
-Cooler Master Dominator CM-690
Jubjub


Desconectado Desconectado

Mensajes: 708


Lay Ladie lay,...


Ver Perfil WWW
Re: Bug en el Tuenti (By: Dimitrix)
« Respuesta #8 en: 26 Abril 2009, 22:30 pm »

Nahh... para acallar fotos en las que andan pegandose (Vease Barça -RM ) es perfecta :xD
En línea

Jugando con Fósforoshacking con un tono diferente


.
porno
Isótopo

Desconectado Desconectado

Mensajes: 292


Comprende a los demás para comprenderte a tí mismo


Ver Perfil
Re: Bug en el Tuenti (By: Dimitrix)
« Respuesta #9 en: 26 Abril 2009, 22:42 pm »

Weno.. voy a tene k darte la razon xd Oye dimitrix avisate el bug o quieres darle un poco de rodaje??xd
En línea


-Asus Crosshair IV Formula            
-AMD Phenom II X6 1090T 3.94Ghz @1.38V
-Corsair H70
-Sapphire Radeon HD 6970 2GB Dual-Fan
-G.Skill PIS PC3-17066 4GB 1900MHz 7-9-7-20 @1.65V
-WD Caviar Black 500GB
-Seagate Barracuda Green 2TB x2
-Antec TruePower New 750W Modular
-Cooler Master Dominator CM-690
Páginas: [1] 2 3 4 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Evento logout windows sin ventana « 1 2 »
Programación C/C++
patilanz 10 5,622 Último mensaje 18 Junio 2014, 15:32 pm
por Eternal Idol
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines