Aug
25
Tuenti soluciona varios bugs de seguridad
Filed Under Noticias de Internet admin 19:57
Tuenti quiere seguir evolucionando y todo parece ir viento en popa tras la adquisición por parte de Telefónica en casi toda su totalidad.
La red social española además ha soluciones unos problemas de seguridad que permitían a atacantes inyectar código malicioso a la web.
Se ha solucionado hasta tres bugs conocidos, pero el que más prisa corría era el de “ process_get_next_friend_feed_chunk “.
Las líneas afectadas según Tuenti Adictos eran desde hace algún tiempo las que más preocupaba al equipo que compone la página.
- friend_feed_chunk×tamp=</xmp>CÓDIGO&feed_page_number=1&minimum_timestamp=1282572004
- http://wwwb21.tuenti.com/?m=Home&func=process_get_next_
Tras el ataque se podía haber eliminado las etiquetas ( tags ) de fotografías y incluso se habla de incluso eliminar las imágenes con otros códigos.
- photo&collection_key=KEY collection_key=KEY&csfr=CSFR
- http://wwwb21.tuenti.com/?m=Photo&func=process_delete_
Los dos bugs también realmente importantes eran el de tablero y el XSS no persistente.
- Tablones: Con la función get_raw_blog_entry y modificando el blog_entry_id podíamos entrar a cualquier tablón de cualquier persona que tenga registro en Tuenti.
- XSS no persistente: Gracias a la función siguiente se podía realizar un ataque pero sin apenas peligro: process_get_next_friend_feed_chunk
- http://wwwb21.tuenti.com/?m=Home&func=process_
- get_next_friend_feed_chunk×tamp=</xmp>CODIGO&
- feed_page_number=1&minimum_timestamp=1282572004
Comments
Leave a Reply
Contador