La seguridad de Tuenti sigue mejorando, solventando en esta ocasión 3 nuevos bugs. Resumidamente, los fallos permitían eliminar etiquetas de fotos, ver cualquier tablón de Tuenti o ingeniárselas para usar códigos malintencionados.
Los detalles técnicos que nos reporta Luis Delgado (Rama de estudiantes del IEEE – UPM):
- Bug en fotos
El bug consiste en eliminar el tag de cualquier persona (sea amigo o desconocido) de una determinada foto.
Se hace uso de la estructura del identificador de las fotos, el cual sigue un patrón de la forma X-IDUSUARIO-CODIGOS.
Basta con modificar el IDUSUARIO por el de la persona a desetiquetar (atendiendo que el primer numero corresponda a 1,si es 2 es porque estamos visualizando la foto desde el perfil del uploader). No podemos eliminar el tag del uploader aunque, si en la foto no hay nadie etiquetado, podemos eliminarla.
Para la explotación se utiliza la función de eliminación de fotos, process_delete_photo, modificando el collection_key.
http://wwwb21.tuenti.com/?m=Photo&func=process_delete_photo&collection_key=KEY
collection_key=KEY&csfr=CSFR- Bug en tablones
El bug consiste en que podemos visualizar cualquier tablón, sea su propietario amigo o desconocido.
La explotación se realiza utilizando la función get_raw_blog_entry y modificando el blog_entry_id.
Si utilizamos la opcion de editarla, se nos creará en nuestro tablón una entrada con el mismo ID.
Si borramos nuestra entrada, al intentar acceder al tablón a través de su blog_entry_id nos dirá que no es válido, por lo que ya no podremos seguir visualizandolo (si entramos en el perfil de la persona que lo había publicado veremos que sigue estando ahí, ¿quizás porque está cacheado?, la obtención directa ya no lo devuelve).
http://wwwb21.tuenti.com/?m=Profile&func=get_raw_blog_entry&user_id=(OPCIONAL)blog_entry_id=ID&csfr=CSFR
- XSS no persistenteSe encuentra en la funcion process_get_next_friend_feed_chunk.
Basta con modificar el contenido del parámetro timestamp, cerrando la etiqueta xmp antes de introducir el código.
http://wwwb21.tuenti.com/?m=Home&func=process_get_next_friend_feed_chunk×tamp=</xmp>CODIGO
&feed_page_number=1&minimum_timestamp=1282572004
Te puede interesar:
Lo Último de Tuenti
- Crea un anuncio en Tuenti para promocionar tu negocio
- Juegos Edgeworld y Red Bull Student Game en Tuenti
- Tuenti abre sus puertas a las revistas digitales
- Tuenti en Português
- Juegos Luno y La Oca en Tuenti
- Tuenti verifica cuentas con DNI electrónico
- Próximamente en Tuenti Juegos: Luno
- Juego Quiz millonario en Tuenti
- Próximamente en Tuenti Juegos: La Oca
- Portada de Tuenti personalizada para Fin de Año con Pacha Ibiza
Plantilla de Wordpress Themes y Internet Marketing Center | Traducida por Fernando
Esta web no pertenece a TUENTI TECHNOLOGIES Datos LSSI - Privacidad
12 respuestas " Varios fallos de Tuenti solventados "
24 agosto 2010
Había también un bug en el que te permitía etiquetar a cualquier persona en cualquier foto, que se podía poner en práctica desde hace unas semanas. Había que cambiar el atributo del identificador de a quién querías etiquetar y el identificador de la foto y de quién la subió. De esta forma pude hasta etiquetarme en algunas fotos de Adeyemi Ajao, o incluso etiquetar a Zaryn Dentzrl en cualquier foto mía.
Menos mal que este bug está solventado ya, y no puede ponerse en práctica desde ya
24 agosto 2010
Por cierto, estos dos bugs que he explicado los puse en práctica con el complemento Tamper Data para Firefox.
25 agosto 2010
[...] líneas afectadas según Tuenti Adictos eran desde hace algún tiempo las que más preocupaba al equipo que compone la [...]
26 agosto 2010
Me parece que tuenti acaba de introducir una novedad: Invitaciones a juegos cuando no te encuentras en el chat. Dejo aqui la foto:
http://i37.tinypic.com/33tpjdu.jpg
weno si no es asi, es la primera vez que me aparece, y suelo fijarme en este tipo de cosas jaj. un saludo!
26 agosto 2010
Despues, al pinchar en la invitacion del juego, me ha salido esta advertencia:
http://i38.tinypic.com/zkj0ch.jpg
Alguien sabe algo acerca de esto? gratxe.
26 agosto 2010
@Cobber_HVC, las invitaciones a juegos sin estar en el chat es una opción que han introducido con el lanzamiento de los juegos sociales como Towner:
http://www.tuentiadictos.es/tuenti-creditos-llega-la-moneda-virtual-en-tuenti-con-juegos-sociales/
Si no permites el acceso a la información que solicitan, no funcionan los juegos sociales correctamente.
Saludos
26 agosto 2010
muchas gracias a TuentiAdictos por resolverme la teoría
. Pero, ahora sí, que acabo de notar una nueva opción en Tuenti:
Compartir una foto (aqui la foto)
http://i33.tinypic.com/2z8oql4.jpg
mirar la parte coloreada de rojo
eso no estaba antes, verdad?
26 agosto 2010
SORPRESA!!! al entrar en tuenti hoy me da un mensaje sobre tuenti pack
“Hemos detectado complementos que pueden causarte problemas mientras navegas en Tuenti: TuentiPack. Puedes ver cómo desactivarlos en nuestra sección de Ayuda”
1 octubre 2010
Hola,, me encanta tuenti, pero tengo un problema se me ha estropeadao mi correo en hotmail, y ahora con la contraseña caducada no me deja entrar a tuenti,, me mandan una nueva contraseña a mi correo, pero si lo tengo averiado ¿ como podré entrar entonces en mi tuenti…? no me gustaria perder todo lo que tengo en mi tuenti si me hago un correo nuevo,,¿que puedo hacer?
16 diciembre 2011
hoolaaa see mee aa olviidaao laa contraaseñaa dd mi hotmail por lo cuall noo puedoo entraar een eel tuentii porkee noo me acuerdo tampocoo de la (CONTRASEÑA) Piidoo nuueva contraseña paaraa tuentii peroo mee laa Mandan ami hotmail peroo tampocoo puuedoo abriirlaa qquee puuedooo aceer?¿?¿?¿?
17 diciembre 2011
Yo pongo mi contraseña en tuenti y se carga con normalidad, pero la pantalla de Inicio se queda en blanco y no sale nada, ¿cómo lo puedo solucionar?.
Gracias.
18 diciembre 2011
yo pongo tuenti y se carga normal como siempre pero cuando termina de cargar se queda la pantalla en blanco ¿que puedo hacer para solucionarlo ?