jueves, febrero 05, 2009

La seguridad de 8a.nu

Con este post voy a desvelar un par de 'fallos' en 8a.nu.

Como ya comenté en unos posts atras, hice un servicio, para poder exportar las ascensiones de 8a.nu a formatos mas manejables (txt, xml, cvs), partiendo del html.

El guardar el html, es un poco engorroso, ya que la página una frames (lo cual ya indica un fallo de diseño -- los frames ya no los usa casi nadie ).

Pues en esas estaba, en poder extraer las ascensiones, mediante el usuario y la password.. De esta forma se evitaría el engorro de general el html...
Soy consciente de que posiblemente el único que use esta opción sea yo, y si acaso algún amiguete, porque eso de entregar un usuario/password asi como asi.... Aunque también tenía mis intereses técnicos (que ando con poco curro...).

Pues bien, tras tener el código para logarme no me funcionaba. Solución: snifar un poco.
¿Y cual es la sorpresa que me llevo? Que en lugar de una petición POST como pensaba que se estaba enviando (con una serie de campos ocultos y tal...), se envía una petición GET tal que:

http://www.8a.nu/login/UserLogin.aspx?email=tucorreo@mixmail.com&password=XXXX

¡¡¡Así tal cual!!! Sin ni siquiera un encriptado con javascript ni ná. Total, para que...

Comentandoselo a JJ, para confirmar el fallo, me dice que hace tiempo les notificó otro fallo, del cual hicieron caso omiso. Cito a JJ:

"Te comento los fallos que veo que tiene ahora la página de 8a.nu para que completes la información de tu post:

- Sección Routes->Search & Add, Boulders->Search & Add: Se puede provocar un DOS de una forma bastante fácil, y ahora que sabemos como funciona la autenticación aún resulta más sencillo, marcas todos los grados, y en lugar de meter un identificador de Crag, colocas un comodín SQL para búsquedas de texto %,y con unas cuantas peticiones de este tamaño seguro que tiras el sitio por denegación de servicio, pues la consulta puede ser de un consumo considerable, vamos que con un bot un poco currado creo que sería posible tirar el sitio. Es se soluciona con unas validaciones cliente sencillas que no les costaría nada introducir.

- Sección Pics, Profile, Blog->Training Log: No se pueden utilizar comillas simples en el campo de comentarios de las entradas del formulario, pues no se escapean y falla la inserción en la base de datos, por si esto fuese poco, se muestra la consulta, que da datos muy interesantes como el id interno con el que se te identifica en la base de datos... vamos es una puerta para la obtención de otros datos.

y no he probado mucho más, la verdad es que esto estaba bien para cuando era un sitio de 4 amigos, pero a estas alturas deberían de ponerse un poco las pilas.
"


Lo de la autentificación es bastante dificil de explotar (que no imposible), pero vamos... es un poco cutre enviar asi como así por la red el usuario/password.
Lo que comenta JJ es mas serio.
JJ, ya en su momento se lo comentó, pero no hicieron ni caso. Ahora es de dominio publico.
No puede ser que el sitio con posiblemente la mayor BD de escaladores del mundo tenga estos fallos...
Supongo que al menos harán backups periodicamente...

3 comentarios:

Isi dijo...

en las busquedas yo siempre he usado el % porque asi saca todas las coinicidencias, asi qeu no seais cabrones, no se lo digais o me van a putear... jajajajajajjja

cesarob dijo...

Por cierto...
Creo no te puedes dar de baja.

cesarob dijo...

Para cambiar la password no te pide repetirla, y el campo es visible.

Casi que mejor no seguir mirando cosas...