elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado: Guía rápida para descarga de herramientas gratuitas de seguridad y desinfección.


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Bugs y Exploits
| | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | |-+  Mas que un bug o vulnerabilidad una imbecilidad
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Mas que un bug o vulnerabilidad una imbecilidad  (Leído 3,562 veces)
jdc


Desconectado Desconectado

Mensajes: 3.406


Ver Perfil WWW
Mas que un bug o vulnerabilidad una imbecilidad
« en: 19 Noviembre 2009, 05:29 »

Bueno andaba viendo mis puntos circulomas xDDDDD (quien sea chileno tal vez lo entienda) y me encontre con una hermosa sorpresa...

Al ingresar mi rut en http://www.circulomas.cl/ me equivoque  :xD

y a que no adivinan que paso  :¬¬ me salio con el rut el nombre completo de otra persona, ustedes diran que es una estupidez no? pues lo simpatico es que nuestros datos estan a la vista de cualquier imbecil que sepa que el rut se valida con la "-X" con un simple algoritmo disponible en internet, si alguien quiere le paso un programa que hice hace tiempo para saber el digito verificador del rut.


El problema... La pagina entrega Nombre completo + rut + numero de puntos circulomas por lo que se subentiende que tiene tarjeta mas xDDDDD, con dos dedos de frente consigo el telefono de esta persona, lo llamo + un poquito de ingenieria social y lo estafo, todo gracias a CencoSud... Ahora la pregunta del millon ;) Alguien en tu casa tiene tarjeta mas? xDDDDDDD

No borren este mensaje porfavor es solo para informar y...

Que viva:

En línea

Castg!
Wiki

Desconectado Desconectado

Mensajes: 1.191



Ver Perfil WWW
Re: Mas que un bug o vulnerabilidad una imbecilidad
« Respuesta #1 en: 19 Noviembre 2009, 18:51 »

jajaj! tremendfo! eso es tipico, no hay web con diseño bueno y codigo seguro. avisaste no?
En línea

WHK
Moderador
***
Desconectado Desconectado

Mensajes: 6.264


The Hacktivism is not a crime


Ver Perfil WWW
Re: Mas que un bug o vulnerabilidad una imbecilidad
« Respuesta #2 en: 19 Noviembre 2009, 19:13 »

aah yo trabajé en la competencia un tiempo atras ;D

es algo similar a lo que pasa con las tarjetas bip, si le sabes el rut puedes saber por donde se ha movido todos estos dias, y asi puedes saber si tu novia te engaña y se pasa a la casa de su ex xDDDDDDD

Bueno, me uno a la campaña de google: "Don't be evil"

Ahora me gustaría preguntarte janito... yo como programador de un sistema web, como debo solucionar o evitar esto? sería una buena pregunta para que los demás no cometan este tipo de fallas.
En línea

jdc


Desconectado Desconectado

Mensajes: 3.406


Ver Perfil WWW
Re: Mas que un bug o vulnerabilidad una imbecilidad
« Respuesta #3 en: 19 Noviembre 2009, 19:27 »

WHK no se sí es ironia xD lo que preguntas pero es fácil :)
 
Sí miras tú carnet de identidad tiene un número de serie que sería muy fácil de preguntar a la hora de que el usuario consultará sus puntos, y sí piensas que es complicado pues sólo pide la fecha de nacimiento, es obvio que el dueño de un rut debe saber su fecha de nacimiento o el número de serie del carnet.
 
Y sobre el sistema, te bloquea sí consultas 3 o 4 ruts inválidos, pero extrañamente no limita el número de ruts correctos consultados :)
En línea

WHK
Moderador
***
Desconectado Desconectado

Mensajes: 6.264


The Hacktivism is not a crime


Ver Perfil WWW
Re: Mas que un bug o vulnerabilidad una imbecilidad
« Respuesta #4 en: 19 Noviembre 2009, 19:37 »

Yo ademas de el rut en ves de pedir la fecha de nacimiento solicitaría un numero de serie que pueda darse via telefono si lo solicitas ya que de esta manera si no sabes tu clave no podrás entrar a ver los puntos de los demas y con opcion de cambiar esa clave desde la misma web sin limitar la cantidad de carácteres.

Para alguien simple de casa como una señora no creo que no pueda anotar 5 o 6 carácteres y si no puede hacerlo es porque tampoco sabe usar una pc para consultarlo xD y que ese codigo no pueda ser dado via mail porque cualquiera puede dar un mail que no le corresponda al dueño de la cuenta y ya.
En línea

jdc


Desconectado Desconectado

Mensajes: 3.406


Ver Perfil WWW
Re: Mas que un bug o vulnerabilidad una imbecilidad
« Respuesta #5 en: 19 Noviembre 2009, 19:50 »

Recuerda... Algo importante a la hora de programar es hacerlo para "weones" para ti o la mayoría aquí el registrar una cuenta, cambiar una clave, borrar una cuenta o lo que sea son cosas cotidianas. Para la mayoría de la gente no :)
 
Además complicas demasiado enviando un código por teléfono ya que cualquiera mirará como un trámite simple y sí tiene que llamar para conseguir un número lo dejara así.
 
Mira:
 
7.728.358
 
Ese es un rut, la raya se puede sacar, pero como consigues la fecha de nacimiento?
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  
Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines