Banda Ancha EU

Información independiente
sobre fibra, móvil y ADSL

hosting en interdominios

198

Movistar corrige un XSS en su web para evitar la inocentada de bandaancha.eu

xss-movistar.png

Movistar modificó (sin éxito) a última hora de la tarde de ayer el HTML de su web para evitar un fallo de Cross-site scripting que nos permitió elaborar nuestra broma del día de los inocentes al introducir aparentemente en su web información falsa sobre el lanzamiento de una modalidad FTTH de 300 Mbps.

De forma improvisada urdimos una broma para no faltar a la cita del 28 de diciembre. Sabiendo que el código de la web de Movistar es algo caótico y fácilmente podía albergar algún tipo de problema XSS, nos pusimos a buscar en el código fuente alguna oportunidad para realizar nuestra travesura.

La vulnerabilidad la encontramos en el código que se encarga de mostrar el sistema Wisibi, con el que el visitante de la web puede contactar con un comercial de Movistar por su web.

Este fragmento, situado en la línea 1019, lee de la dirección introducida en el navegador el parámetro url y más tarde crea un iframe dentro de la web de Movistar mostrando el contenido de la URL que apunta.

Tras copiar el HTML renderizado de su comparativa de modalidades, lo modificamos y albergamos en nuestro servidor. Elaboramos una URL algo rebuscada a partir de la IP en décimal de bandaancha.eu y probamos a pasarla dentro del parametro url.

www.movistar.es/particulares/internet/movistar-adsl/opciones-tarifas/?url=http%3A%2F%2F1509452388%2Fetneconi.html%3Flanding%3D2014_broadband_offer

La web de Movistar estuvo mostrando durante todo el día ofertas de 20, 30, 60 y 300 megas, hasta que Movistar decidió intervenir para corregir el problema. Sobre las 21:00 horas, sus responsables, sin tocar el código que que crea el problema, improvisaron un parche llamado en los comentaríos "Función arreglo", que previamente comprueba si existe el parámetro url y si es así lo elimina, recargando la página correcta.

if(window.location.href.indexOf('url=')!=-1) { window.location.href='/particulares/internet/movistar-adsl/opciones-tarifas'; } 

Hay que resaltar que en ningún momento se ha defaceado, jacqueado o modificado la web de Movistar. Simplemente se trata de una URL algo rebuscada a la que cualquier visitante puede acceder sin tener que saltarse ninguna medida de seguridad.

El problema continúa a pesar del parche

Lo cierto es que incluso con el parche, resulta fácil volver a hacer travesuras con una simple modificación. Visítala mientras dure ;)

www.movistar.es/particulares/internet/mo … nes-tarifas/

Actualización: Finalmente los responsables de la página han modificado el código por segunda vez para codificar directamente la url que debe cargar el iframe sin generarla a partir de los parámetros.

Los comentarios más recientes se muestran primero. Haz click sobre un comentario para desplegar/plegar.
  • BocaDePez BocaDePez
    6

    Así es... De estas cosas deberian aprender. A nivel…

    Así es... De estas cosas deberian aprender. A nivel informático es terrible ver que un ISP como Telefónica no es capaz de mantener su web ordenada y bien scripteada, imagina la confianza que genera ver cosas como estas. Personalmente nunca he tenido Telefónica, ni de lejos pienso cambiarme a ellos.

    Deberia darles verguenza de una manera bruta y descomunal, si fueran decentes harian una purga de su departamento web y de su web. Menudo desorden de código, redundante, parcheado, largo y mal optimizado. Y con los años les tirará aún peor la web si no se renuevan.

    A ver si aprenden algo con esto... y menos mal que lo ha hecho alguien con buenas intenciones ... luego encima se quejaran legalmente o algo .. si es que..

  • BocaDePez BocaDePez
    30

    Este es el problema crónico de España. Empresas como…

    Este es el problema crónico de España. Empresas como Telefónica, que tendrían que tener a la élite currando para ellos, los mejores ingenieros tendrían que estar deseando entrar en telefónica.

    En vez de eso, tienen subcontratados a júniors, haciendo el trabajo de séniors por 1000€ al mes. Y pasa lo que pasa. La culpa no es del chaval que la ha cagado. La culpa es de no tener expertos picando al código de la web de una de las empresas más importantes del país.

    • BocaDePez BocaDePez
      6

      1000Euros??? joder ojala cobrara yo eso Esto lo dice un…

      1000Euros??? joder ojala cobrara yo eso

      Esto lo dice un junior de 850 euros! :|

    • BocaDePez BocaDePez
      6

      Yo trabajo para movisar, ademas a turnos en un 24-7,…

      Yo trabajo para movisar, ademas a turnos en un 24-7, mismanete ayer estuve de tarde y aunque no estoy en web was, algo de ruido me ha llegado del asunto de algun correctivo se que habia... y ya quisiera yo cobrar 1.000 euros!!! Cobro 700 euros al mes y pico (10.500 brutos al año), y no tengo ni vacaciones, puesto que solo tengo 10 dias de descanso cuando acabo cada rotacion de turno que no puedo ni elegir, estan fijados de antemano.

      tampoco tenemos ninguna ventaja por usar movistar, ni descuentos, ni nada de nada, somos la ultima escoria de la compañia, asi es que con nuestro sueldo nadie podemos permitirnos los productos de "la casa"

      por haber no hay ni cesta de navidad en estas fechas, supongo que los jefes si recibirán algo, esos si que dicen que cobran bien.

      pero veo que no conoceis ni de lejos las condiciones que tenemos los trabajadores de esta empresa.

      • Disculpa pero creo que por lo que trabajas no te puedes…

        Disculpa pero creo que por lo que trabajas no te puedes quejar.

        Trabajas 8 horas diarias a turnos intensivos y cada mes tienes 10 dias de fiesta. Vale que el sueldo no es muy alto, pero joder. Ya quisiera yo tener tus dias de vacaciones.

        • BocaDePez BocaDePez
          6
          ¿Estas diciendo que te conformas con un sueldo de 700€ al mes…

          ¿Estas diciendo que te conformas con un sueldo de 700€ al mes por 40h semanales? Bienvenido a españistan!

        • BocaDePez BocaDePez
          6
          ¿Y no te has parado a pensar que en la mayoría de los…

          ¿Y no te has parado a pensar que en la mayoría de los trabajos se tienen al menos 8 días de fiesta al mes (sábados y domingos), no se trabajan festivos, se tienen puentes y un mes (o más) de vacaciones y además de tener vida privada (poder quedar con los amigos, llevar a tus hijos al parque un domingo, etc) se suele cobrar más? :-/

          No solo puede, sino que debe quejarse.

      • BocaDePez BocaDePez
        6

        Me parece que te estas columpiando. Busca en el BOE los…

        Me parece que te estas columpiando.

        Busca en el BOE los sueldos de Telefonica de España, de Telefonica Moviles y de Telefonica Soluciones, que son los trabajadores de Movistar.

        Los sueldos están fijados por un convenio colectivo que negocian los sindicatos (elegidos democraticamente) y la empresa

        El resto son contratas y como en este país enseñan en las escuelas de negocios que 2+2 son 3 que llevo y uno que pago al trabajador, asi nos va. Queremos pagar a los ingenieros 20K y que sean los mejores. Como todo en la vida lo bueno se paga y punto

        Salu2

    • BocaDePez BocaDePez
      6

      Casi con toda seguridad los que pican el código de la web de…

      Casi con toda seguridad los que pican el código de la web de Movistar es una subcontrata. Incluso tampoco me extrañaría que también fueran empleados externos los admins del portal.

  • Al margen de mi opinión personal en contra de las estúpidas…

    Al margen de mi opinión personal en contra de las estúpidas bromas del 28 de diciembre, creo que lo hecho por bandaancha.eu es muy peligroso, porque Telefónica podría emprender acciones legales después de haber dejado en ridículo la web de la primera multinacional de España con miles de millones de euros de beneficio cada año, y que no es capaz de tener su propia web en mínimas condiciones.

    Ya veremos qué pasa.

    Buenas tardes.

    • Precisamente de este tipo de fallos, es de donde tienen que…

      Precisamente de este tipo de fallos, es de donde tienen que aprender. Si yo fuera del equipo de webmasters de Telefónica, le estaría dando las gracias a Josh ahora mismo. Lo que ha hecho Josh es una inocentada, pero..., ¿Y si no hubiese sido Josh el que se hubiese dado cuenta del tema, y otro con intenciones mucho más oscuras hubiese petado la web de Movistar, o bien redirigiendo el tráfico hacia otro sitio donde con un exploit nos cogen los datos internos de usuarios y contraseñas?

      Creo, que no se ha dejado en ridículo a una de las empresas más potentes del mercado. Simplemente se le ha indicado "eso esta mal, corrígelo por favor". Creo que a todos nos lo han hecho de pequeños. ¿Porqué no a una de las empresas más potentes de España? ¿O es que desde Movistar no atienden sugerencias de mejora para su website?

      Un saludo :) y no te preocupes tanto Bilbo que no merece la pena, disfruta del momento ;)

      • BocaDePez BocaDePez
        0

        No no, si quieres ayudar a una web a taparles un agujero de…

        No no, si quieres ayudar a una web a taparles un agujero de seguridad, primero les escribes avisandolos, luego puedes ponerlo en tu blog avisando que es una BROMA / SIMULACRO o como quieras llamarlo, no haciendo entender que la cosa es una noticia de verdad (el día de los Santos Inocentes no exime de los cumplimientos legales).

        Para mi entender, el equipo de abogados de Movistar ya estarán preparando una buena demanda, la cual muy seguramente vayan a ganar. Ya nos irán informando desde aquí...

        • ¿Qué ley es la que dice que si una web tiene un agujero de…

          ¿Qué ley es la que dice que si una web tiene un agujero de seguridad debo avisarles del mismo?... Espero que lo pienso... ¿En ninguna?
          Además... y si lo miras de otro modo... la gente que se creyó la inocentada seguramente iría a contratar con Movistar, por lo que las visitas a su website pueden haber subido y mucho con la gracia ¿Quien sale ganando? Al final, de lo que se habla es de movistar, y una empresa siempre le interesa que se hable de ella ;)

          Un saludo :)

          • BocaDePez BocaDePez
            0
            Mucho te ofuscas tu, en ningún momento he dicho que quiera…

            Mucho te ofuscas tu, en ningún momento he dicho que quiera que telefónica ponga una denuncia, solo digo lo que creo que va a pasar, lo que yo QUIERO que pase ya es otra cosa distinta.

            No te ofusques tanto y habla del tema, no de mi hermana o de mi higado.

        • BocaDePez BocaDePez
          6
          En que Ley pone que debes avisar? Eso es una Ley no escrita y…

          En que Ley pone que debes avisar? Eso es una Ley no escrita y se hace por cortesía. Si yo paseo por la calle y me encuentro un coche abierto, me puedo pegar una siesta dentro y si me pillan no me podrán acusar absolutamente de nada mientras no lo rompa ni me lo lleve, y si cuando me voy le digo a un macarrilla que el coche está abierto y este lo roba y/o lo destroza ya no es mi problema.

          Y si ponen una demanda estarán reconociendo lo incapaces y chapuzas que son. No creo que quieran poner un altavoz, la verdad.

          Luego, en este caso son los usuarios que hemos dado al enlace los que hemos ejecutado el fallo, por lo que iremos detrás de Josh por lo que entiendo?

          Y yo me pregunto si tienen un fallo tan previsible que no tendrá si se busca más...

              • BocaDePez BocaDePez
                6
                Osea que si el vecino de enfrente de tu casa baja un momento…

                Osea que si el vecino de enfrente de tu casa baja un momento a la calle, y por descuido se deja la puerta de su casa abierta, me queires decir que tu perfectamente te puedes meter en su casa, echarte una siesta en el sofa, hacerte un bocata de bacon que has encontrado en su nevera, y cepillarte a su mujer, dado que ha sido el quien se ha dejado la puerta abierta...

                Claro claro, lo normal....

    • Y remontándose muchas años atrás:…

      Y remontándose muchas años atrás: https://groups.google.com/d/msg/es.charla.conexion.tarifa-plana/-acn7uQhcn0/ilorUjSiZMEJ

    • No deberías sorprenderte tanto. Ese número (1509452388) sale…

      No deberías sorprenderte tanto. Ese número (1509452388) sale de convertir la IP de bandaancha, que está en notación de dirección IP (X.Y.Z.T) a decimal. Los servidores DNS, van a entender la misma dirección, ya sea en notación IP o en decimal (de hecho, antes de buscar en las bases de datos internas, los servidores dns pasan la dirección de notación IP a decimal, ya que es mucho más sencillo para ellos entender números enteros y no en notación IP).

      Espero haberte aclarado la duda.
      Un saludo :)

  • BocaDePez BocaDePez
    6

    Posiblemente el marrón se lo ha comido un inocente

    No es por polemizar, ni quiero entrar en implicaciones legales pero por pura solidaridad "profesional" no os habeis parado a pensar que este "jueguecito" podria:

    1. Amargado el dia a alguien. Esto seguro

    2. Acabar con el precario empleo de alguien. Bastante posible

    Posiblemente este marron haya caido en alguien que trabaja subcontratado y las culpas han ido cayendo desde "arriba" hasta el último pringado que no luede cargar las culpas a nadie más del supuesto "fallo" y aparte de "pringar" vete a saber que consecuencias a tenido.

    Como broma no me parece apropiada, y sin ánimo de ofender creo que se os ha ido la pinza. Por favor es mi opinión personal y la he expresado con educación. No trolleeis! ;-)

    • BocaDePez BocaDePez
      6

      Hala, no es para tanto. Nos ha servido a algunos para…

      Hala, no es para tanto.

      Nos ha servido a algunos para aprender que una url determinada de una empresa importante puede haber sido redirigida a un servidor ajeno. Cosa que no sospechábamos.

      Y le servirá también a telefónica para lo mismo.

      • BocaDePez BocaDePez
        6

        No si ya se que no es para tanto... el problema es que lo que…

        No si ya se que no es para tanto... el problema es que lo que para ti y para mi es una "gracia" para los diferentes jefecillos de los innumerables departamentos de Movistar... no es tan "gracioso" y no les cuesta nada, joder a un pobre desgraciao.

        Lo que quiero decir, es que detrás de estas poderosas empresas hay miles de subcontratas de "pringadillos" que se intentan ganar el pan como pueden y una cosa de estas le jode las fiestas sin NECESIDAD NINGUNA.

        Como broma de los inocentes, pon una parida en la web pero no jodas a nadie. Es como colgar un monigote en la espalda al Nerd de la clase para que todos se rian de él... INNECESARIO.

  • BocaDePez BocaDePez
    0

    Espero que no os salga el tiro por la culata, pero la podíais…

    Espero que no os salga el tiro por la culata, pero la podíais haber liado parda.

  • BocaDePez BocaDePez
    0

    Opinion

    Yo no se como lo veis, pero creo que lo que hanhecho es un juego de los que haciamos en primero de carrera ...

    Ninguna web es totalmente segura, solo hay que saber buscar los pequeños huecos!

    Respecto a lo de telefonica, me parece que es una de las mejores compañias del panorama actual, que esta intentando adaptarse a los tiempos. Cada vez esta internalizando mas, y eso es bueno, tanto para ellos, como para la sociedad en general. Personalmente creo que muchas empresas deberian aprender de telefonica en temas de condiciones laborales. Seguro que si los trabajadores de empresas como Deloitte tuvieran ese tipo de condiciones, en general, los bancos y otras instituciones auditadas y llevadas de la mano en temas fiscales, serian mas productivas.

    Un saludo

  • 6

    Cuidado

    :-/

    ¿no os será algo "peligroso" inculparos? Lo digo como el delincuente que presume de lo que ha hecho. No me entendais por favor como que os comparo con ladrones, asesinos, furtivos... Sino porque estas empresas... ya se sabe a veces tienen abogados aburridos que tienen que soltar como si de perros de caza o velocirraptores se tratasen.

    Un saludete
    --Oute

    • 24

      No creo que llegue la sangre al rio. Peores las hemos hecho.…

      No creo que llegue la sangre al rio. Peores las hemos hecho.

      Un perito en un juicio dejaría claro que ni siquiera se ha tocado el servidor de Movistar, ya que el efecto se produce en el navegador del usuario, que es donde se ejecuta el javascript. Es una ilusión por decirlo así.

      • 12

        Muy buena Josh, me recuerda aquella de los 50/10mb de ono de…

        Muy buena Josh, me recuerda aquella de los 50/10mb de ono de 2005, mucho mas burda con el alterado para ir a otra web (phising barato).

        Siempre has estado un nivel mas friki en este tipo de bromas, sonada fue el error sql que permitia ver el password de la BBDD, y lo mejor es que la bbdd estaba operativa, fuera de produccion pero con graciosos mensajes que dejaron los juankers :)

        Por cierto 9 años después sigue sin existir los 10 de subida en los 50MB

        Un abrazo bandaancha

  • ¡Piratones, que sois unos piratones!.... JAJAJAJAJJA

    ¡Piratones, que sois unos piratones!.... JAJAJAJAJJA

    Invitación Tuenti movil 10 € para ti y 10 para mi. https://www.tuenti.com/movil/invitacion/bskmrqlh

  • BocaDePez BocaDePez
    6

    n1, pero me huelo una denuncia de vomistar en 3,2,1... Los…

    n1, pero me huelo una denuncia de vomistar en 3,2,1...

    Los XSS son vulnerabilidades y os habéis aprovechado de un fallo de seguridad hacer un broma.

  • Sin yo tener mucha idea de HTML, para que la web de movistar…

    Sin yo tener mucha idea de HTML, para que la web de movistar mostrara ese iframe alojado en bandaancha.eu, algo se debió modificar del código de movistar.es no?

    Si no cómo se hizo para que la web de movistar.es mostrara un iframe alojado en bandaancha.eu?

    • Por lo comentado, dicha página web de Telefónica tenía un…

      Por lo comentado, dicha página web de Telefónica tenía un iframe al cual cargaba el contenido de la dirección web que se le pasase por el parámetro url de su dirección web. Y era así porque ellos lo hicieron así. No por modificarse nada en su web.

      Si sabes que PP, PSOE y CiU nos destrozan la vida para lucrarse, ¿por qué les crees y das poder?
      QUITASELO VOTANDO a quien realmente nos defiende

      "Y sin embargo se mueve" (Galileo Galilei)

1