Publican un pequeño fallo de seguridad en el envío de invitaciones desde la versión de Tuenti Móvil. El fallo de seguridad es del tipo XSS en el email, es decir, que si se introduce un código preparado en la dirección de correo, en vez de enviarse la invitación se ejecutaría la finalidad del código. Por ejemplo, si desde http://m.tuenti.com/?m=friends&func=compose_external_invite se introduce como valor del email a@a.com<script>alert(‘Alerta!’);</script> , se ejecutará el código javascript…

TuentiAdictos ha descubierto un fallo de seguridad en Tuenti que permitía sacar cualquier información de la base de datos de Tuenti. Se podía extraer todos los datos privados (contraseña, email, teléfono, etc.) de cualquier usuario de Tuenti mediante inyección de código SQL. Recientemente se descubrió un fallo de seguridad que también permitía insertar código SQL desde la versión de Tuenti Móvil (http://m.tuenti.com), pero en este caso se ha encontrado repetido…

Se ha descubierto un fallo de seguridad en Tuenti móvil que permite obtener datos de usuarios (email, telefono, contraseña en MD5, nombre, apellidos,…) En esta ocasión se trata de un fallo SQL Injection (true/false) que permite inyectar instrucciones sql en la base de datos a través del parámetro user_id de la web de Tuenti para móviles; http://m.tuenti.com/?m=profile&func=reply_to_wall_post&user_id=XXXXXXXX+CODIGO_SQL&post_id=XXXXXXXX Puedes leer más información en la web de Pepelux

Se ha descubierto un nuevo fallo de seguridad en Tuenti que permite insertar código en los nombres de álbumes. Tal y como cuenta Radisec no se filtra correctamente el título que se le pone a un álbum, por lo que se puede insertar código que permite desde personalizar el título del álbum hasta la ejecución de un script que podría robar cuentas de Tuenti. Por ejemplo, si insertamos código HTML para…

Nos informa el usuario Albertttt de un pequeño bug a la hora de poner las direcciones de páginas webs en Tuenti. Desde “Mi cuenta-Mi información personal” tenemos la posibilidad de añadir direcciones de páginas webs que aparecerán en la barra lateral de nuestro perfil. El problema está en que si añades la dirección, de por ejemplo TuentiAdictos, con http://, cuando luego miras la dirección aparece bién escrita de la forma http://www.tuentiadictos.es; pero…

Como noticia sobre la seguridad de Tuenti, descubrimos en meneame múltiples fallos de seguridad en Tuenti que han sido corregidos y han sido publicados en SecurityFocus; INYECCIÓN HTML: Ir a –> http://www.tuenti.com/#m=video&video_id=697&cat_id=tuentiVideos Variable GET vulnerable –> ‘cat_id’ Nota: Aquí no fue posible un ataque XSS PRUEBA DE CONCEPTO: http://www.tuenti.com/#m=video&video_id=697&cat_id=tuentiVideos”><A HREF=http://[MALICIOUS-HOST]/[PATH]/index.php>y3nh4ck3r was here!</A> Devuelve –> Nuevo enlace en el pie de página CROSS SITE SCRIPTING (XSS): Condición: Ser usuario registrado Condición-extra:…

“Dimitrix” nos comunica en http://seguridad.dimitrix.es otro agujero de seguridad en la fase Beta de Tuenti  que permite la desconexión automática de la cuenta cada vez que se conecta el usario y visita una parte de Tuenti en la que se haya introducido un mensaje “maligno”. El bug hace uso del truco para poner fotos en comentarios junto a la url “http://m.tuenti.com/?m=login&func=log_out“ que utiliza Tuenti Móvil para desconectar al usuario. De esta forma se puede construir una url…