Banda Ancha EU

Información independiente
sobre fibra, móvil y ADSL

  • 📰 Artículos

Movistar corrige un XSS en su web para evitar la inocentada de bandaancha.eu

Josh
xss-movistar.png

Movistar modificó (sin éxito) a última hora de la tarde de ayer el HTML de su web para evitar un fallo de Cross-site scripting que nos permitió elaborar nuestra broma del día de los inocentes al introducir aparentemente en su web información falsa sobre el lanzamiento de una modalidad FTTH de 300 Mbps.

De forma improvisada urdimos una broma para no faltar a la cita del 28 de diciembre. Sabiendo que el código de la web de Movistar es algo caótico y fácilmente podía albergar algún tipo de problema XSS, nos pusimos a buscar en el código fuente alguna oportunidad para realizar nuestra travesura.

La vulnerabilidad la encontramos en el código que se encarga de mostrar el sistema Wisibi, con el que el visitante de la web puede contactar con un comercial de Movistar por su web.

Este fragmento, situado en la línea 1019, lee de la dirección introducida en el navegador el parámetro url y más tarde crea un iframe dentro de la web de Movistar mostrando el contenido de la URL que apunta.

Tras copiar el HTML renderizado de su comparativa de modalidades, lo modificamos y albergamos en nuestro servidor. Elaboramos una URL algo rebuscada a partir de la IP en décimal de bandaancha.eu y probamos a pasarla dentro del parametro url.

www.movistar.es/particulares/internet/movistar-adsl/opciones-tarifas/?url=http%3A%2F%2F1509452388%2Fetneconi.html%3Flanding%3D2014_broadband_offer

La web de Movistar estuvo mostrando durante todo el día ofertas de 20, 30, 60 y 300 megas, hasta que Movistar decidió intervenir para corregir el problema. Sobre las 21:00 horas, sus responsables, sin tocar el código que que crea el problema, improvisaron un parche llamado en los comentaríos "Función arreglo", que previamente comprueba si existe el parámetro url y si es así lo elimina, recargando la página correcta.

if(window.location.href.indexOf('url=')!=-1) { window.location.href='/particulares/internet/movistar-adsl/opciones-tarifas'; }

Hay que resaltar que en ningún momento se ha defaceado, jacqueado o modificado la web de Movistar. Simplemente se trata de una URL algo rebuscada a la que cualquier visitante puede acceder sin tener que saltarse ninguna medida de seguridad.

El problema continúa a pesar del parche

Lo cierto es que incluso con el parche, resulta fácil volver a hacer travesuras con una simple modificación. Visítala mientras dure ;)

(link roto)

Actualización: Finalmente los responsables de la página han modificado el código por segunda vez para codificar directamente la url que debe cargar el iframe sin generarla a partir de los parámetros.

BocaDePez
BocaDePez

Sorprendido estoy. Cómo puede funcionar esta URL: http://1509452388

🗨️ 7
djnacho
2

No deberías sorprenderte tanto. Ese número (1509452388) sale de convertir la IP de bandaancha, que está en notación de dirección IP (X.Y.Z.T) a decimal. Los servidores DNS, van a entender la misma dirección, ya sea en notación IP o en decimal (de hecho, antes de buscar en las bases de datos internas, los servidores dns pasan la dirección de notación IP a decimal, ya que es mucho más sencillo para ellos entender números enteros y no en notación IP).

Espero haberte aclarado la duda.
Un saludo :)

🗨️ 6
BocaDePez
BocaDePez

Los servidores DNS no tienen nada que ver, es la librería estándar de funciones del sistema (libc/win32), ver funciones gethostbyname, inet_addr, gethostbyaddr... la que se encarga de pasar de string a hostent

BocaDePez
BocaDePez
1

DNS no pinta nada, ya que estás dando al navegador una IP, y no un nombre de dominio.

Lo que acabo de descubrir yo también es que las librerías del sistema aceptan también direcciones en decimal.

🗨️ 1
BocaDePez
BocaDePez
-1
BocaDePez
BocaDePez

¿por qué está tan sobrevalorado este comentario? Lo que dice es incorrecto.

🗨️ 1
djnacho
1

Tenéis razón ;) Los DNS no se usan si se escribe la IP directamente. Fallo de persona con gripe galopante y con las ideas un poco vaya usted a saber donde por la enfermedad.
Mis más sinceras disculpas. Un saludo :)

oute

:-/

¿no os será algo "peligroso" inculparos? Lo digo como el delincuente que presume de lo que ha hecho. No me entendais por favor como que os comparo con ladrones, asesinos, furtivos... Sino porque estas empresas... ya se sabe a veces tienen abogados aburridos que tienen que soltar como si de perros de caza o velocirraptores se tratasen.

Un saludete
--Oute

🗨️ 5
Josh
3

No creo que llegue la sangre al rio. Peores las hemos hecho.

Un perito en un juicio dejaría claro que ni siquiera se ha tocado el servidor de Movistar, ya que el efecto se produce en el navegador del usuario, que es donde se ejecuta el javascript. Es una ilusión por decirlo así.

🗨️ 4
BocaDePez
BocaDePez

Que maquina!,el webmaster de movistar con un pie en la calle, :P

BocaDePez
BocaDePez
0

Hoygan kyero hakiear la hipé de villy gates, komo se haze no mas?

🗨️ 1
BocaDePez
BocaDePez
1

no más,no mames guey.

raxor
1

Muy buena Josh, me recuerda aquella de los 50/10mb de ono de 2005, mucho mas burda con el alterado para ir a otra web (phising barato).

Siempre has estado un nivel mas friki en este tipo de bromas, sonada fue el error sql que permitia ver el password de la BBDD, y lo mejor es que la bbdd estaba operativa, fuera de produccion pero con graciosos mensajes que dejaron los juankers :)

Por cierto 9 años después sigue sin existir los 10 de subida en los 50MB

Un abrazo bandaancha

BocaDePez
BocaDePez
4

Este es el problema crónico de España. Empresas como Telefónica, que tendrían que tener a la élite currando para ellos, los mejores ingenieros tendrían que estar deseando entrar en telefónica.

En vez de eso, tienen subcontratados a júniors, haciendo el trabajo de séniors por 1000€ al mes. Y pasa lo que pasa. La culpa no es del chaval que la ha cagado. La culpa es de no tener expertos picando al código de la web de una de las empresas más importantes del país.

🗨️ 8
BocaDePez
BocaDePez

Casi con toda seguridad los que pican el código de la web de Movistar es una subcontrata. Incluso tampoco me extrañaría que también fueran empleados externos los admins del portal.

BocaDePez
BocaDePez

Yo trabajo para movisar, ademas a turnos en un 24-7, mismanete ayer estuve de tarde y aunque no estoy en web was, algo de ruido me ha llegado del asunto de algun correctivo se que habia... y ya quisiera yo cobrar 1.000 euros!!! Cobro 700 euros al mes y pico (10.500 brutos al año), y no tengo ni vacaciones, puesto que solo tengo 10 dias de descanso cuando acabo cada rotacion de turno que no puedo ni elegir, estan fijados de antemano.

tampoco tenemos ninguna ventaja por usar movistar, ni descuentos, ni nada de nada, somos la ultima escoria de la compañia, asi es que con nuestro sueldo nadie podemos permitirnos los productos de "la casa"

por haber no hay ni cesta de navidad en estas fechas, supongo que los jefes si recibirán algo, esos si que dicen que cobran bien.

pero veo que no conoceis ni de lejos las condiciones que tenemos los trabajadores de esta empresa.

🗨️ 5
BocaDePez
BocaDePez

Me parece que te estas columpiando.

Busca en el BOE los sueldos de Telefonica de España, de Telefonica Moviles y de Telefonica Soluciones, que son los trabajadores de Movistar.

Los sueldos están fijados por un convenio colectivo que negocian los sindicatos (elegidos democraticamente) y la empresa

El resto son contratas y como en este país enseñan en las escuelas de negocios que 2+2 son 3 que llevo y uno que pago al trabajador, asi nos va. Queremos pagar a los ingenieros 20K y que sean los mejores. Como todo en la vida lo bueno se paga y punto

Salu2

JosepAND
-1

Disculpa pero creo que por lo que trabajas no te puedes quejar.

Trabajas 8 horas diarias a turnos intensivos y cada mes tienes 10 dias de fiesta. Vale que el sueldo no es muy alto, pero joder. Ya quisiera yo tener tus dias de vacaciones.

🗨️ 3
BocaDePez
BocaDePez

Viva el cuencoarrozismo!!

BocaDePez
BocaDePez

¿Y no te has parado a pensar que en la mayoría de los trabajos se tienen al menos 8 días de fiesta al mes (sábados y domingos), no se trabajan festivos, se tienen puentes y un mes (o más) de vacaciones y además de tener vida privada (poder quedar con los amigos, llevar a tus hijos al parque un domingo, etc) se suele cobrar más? :-/

No solo puede, sino que debe quejarse.

BocaDePez
BocaDePez

¿Estas diciendo que te conformas con un sueldo de 700€ al mes por 40h semanales? Bienvenido a españistan!

BocaDePez
BocaDePez

1000Euros??? joder ojala cobrara yo eso

Esto lo dice un junior de 850 euros! :|

Bilbokoa
-1

Al margen de mi opinión personal en contra de las estúpidas bromas del 28 de diciembre, creo que lo hecho por bandaancha.eu es muy peligroso, porque Telefónica podría emprender acciones legales después de haber dejado en ridículo la web de la primera multinacional de España con miles de millones de euros de beneficio cada año, y que no es capaz de tener su propia web en mínimas condiciones.

Ya veremos qué pasa.

Buenas tardes.

🗨️ 12
BocaDePez
BocaDePez
-1

Se dice Bilbado.

🗨️ 1
BocaDePez
BocaDePez

...

djnacho
1

Precisamente de este tipo de fallos, es de donde tienen que aprender. Si yo fuera del equipo de webmasters de Telefónica, le estaría dando las gracias a Josh ahora mismo. Lo que ha hecho Josh es una inocentada, pero..., ¿Y si no hubiese sido Josh el que se hubiese dado cuenta del tema, y otro con intenciones mucho más oscuras hubiese petado la web de Movistar, o bien redirigiendo el tráfico hacia otro sitio donde con un exploit nos cogen los datos internos de usuarios y contraseñas?

Creo, que no se ha dejado en ridículo a una de las empresas más potentes del mercado. Simplemente se le ha indicado "eso esta mal, corrígelo por favor". Creo que a todos nos lo han hecho de pequeños. ¿Porqué no a una de las empresas más potentes de España? ¿O es que desde Movistar no atienden sugerencias de mejora para su website?

Un saludo :) y no te preocupes tanto Bilbo que no merece la pena, disfruta del momento ;)

🗨️ 9
BocaDePez
BocaDePez
-1

No no, si quieres ayudar a una web a taparles un agujero de seguridad, primero les escribes avisandolos, luego puedes ponerlo en tu blog avisando que es una BROMA / SIMULACRO o como quieras llamarlo, no haciendo entender que la cosa es una noticia de verdad (el día de los Santos Inocentes no exime de los cumplimientos legales).

Para mi entender, el equipo de abogados de Movistar ya estarán preparando una buena demanda, la cual muy seguramente vayan a ganar. Ya nos irán informando desde aquí...

🗨️ 8
BocaDePez
BocaDePez

En que Ley pone que debes avisar? Eso es una Ley no escrita y se hace por cortesía. Si yo paseo por la calle y me encuentro un coche abierto, me puedo pegar una siesta dentro y si me pillan no me podrán acusar absolutamente de nada mientras no lo rompa ni me lo lleve, y si cuando me voy le digo a un macarrilla que el coche está abierto y este lo roba y/o lo destroza ya no es mi problema.

Y si ponen una demanda estarán reconociendo lo incapaces y chapuzas que son. No creo que quieran poner un altavoz, la verdad.

Luego, en este caso son los usuarios que hemos dado al enlace los que hemos ejecutado el fallo, por lo que iremos detrás de Josh por lo que entiendo?

Y yo me pregunto si tienen un fallo tan previsible que no tendrá si se busca más...

🗨️ 4
BocaDePez
BocaDePez
-1

Haz lo del coche... a ver que te pasa...

🗨️ 3
BocaDePez
BocaDePez
-1
🗨️ 2
BocaDePez
BocaDePez
🗨️ 1
BocaDePez
BocaDePez
BocaDePez
BocaDePez

Y claro, el derecho de pernada sobre tu hermana o donar el higado en vida son condiciones de verdad.

🗨️ 1
BocaDePez
BocaDePez
-1

Mucho te ofuscas tu, en ningún momento he dicho que quiera que telefónica ponga una denuncia, solo digo lo que creo que va a pasar, lo que yo QUIERO que pase ya es otra cosa distinta.

No te ofusques tanto y habla del tema, no de mi hermana o de mi higado.

djnacho

¿Qué ley es la que dice que si una web tiene un agujero de seguridad debo avisarles del mismo?... Espero que lo pienso... ¿En ninguna?
Además... y si lo miras de otro modo... la gente que se creyó la inocentada seguramente iría a contratar con Movistar, por lo que las visitas a su website pueden haber subido y mucho con la gracia ¿Quien sale ganando? Al final, de lo que se habla es de movistar, y una empresa siempre le interesa que se hable de ella ;)

Un saludo :)

JosepAND

Sin yo tener mucha idea de HTML, para que la web de movistar mostrara ese iframe alojado en bandaancha.eu, algo se debió modificar del código de movistar.es no?

Si no cómo se hizo para que la web de movistar.es mostrara un iframe alojado en bandaancha.eu?

🗨️ 1
fervigo

Por lo comentado, dicha página web de Telefónica tenía un iframe al cual cargaba el contenido de la dirección web que se le pasase por el parámetro url de su dirección web. Y era así porque ellos lo hicieron así. No por modificarse nada en su web.

BocaDePez
BocaDePez

Enhorabuena bandaancha.eu

BocaDePez
BocaDePez

n1, pero me huelo una denuncia de vomistar en 3,2,1...

Los XSS son vulnerabilidades y os habéis aprovechado de un fallo de seguridad hacer un broma.

AntonioAmaya
1

¡Piratones, que sois unos piratones!.... JAJAJAJAJJA

BocaDePez
BocaDePez
-1

Yo no se como lo veis, pero creo que lo que hanhecho es un juego de los que haciamos en primero de carrera ...

Ninguna web es totalmente segura, solo hay que saber buscar los pequeños huecos!

Respecto a lo de telefonica, me parece que es una de las mejores compañias del panorama actual, que esta intentando adaptarse a los tiempos. Cada vez esta internalizando mas, y eso es bueno, tanto para ellos, como para la sociedad en general. Personalmente creo que muchas empresas deberian aprender de telefonica en temas de condiciones laborales. Seguro que si los trabajadores de empresas como Deloitte tuvieran ese tipo de condiciones, en general, los bancos y otras instituciones auditadas y llevadas de la mano en temas fiscales, serian mas productivas.

Un saludo

BocaDePez
BocaDePez
-1

Espero que no os salga el tiro por la culata, pero la podíais haber liado parda.

BocaDePez
BocaDePez
0

No es por polemizar, ni quiero entrar en implicaciones legales pero por pura solidaridad "profesional" no os habeis parado a pensar que este "jueguecito" podria:

1. Amargado el dia a alguien. Esto seguro

2. Acabar con el precario empleo de alguien. Bastante posible

Posiblemente este marron haya caido en alguien que trabaja subcontratado y las culpas han ido cayendo desde "arriba" hasta el último pringado que no luede cargar las culpas a nadie más del supuesto "fallo" y aparte de "pringar" vete a saber que consecuencias a tenido.

Como broma no me parece apropiada, y sin ánimo de ofender creo que se os ha ido la pinza. Por favor es mi opinión personal y la he expresado con educación. No trolleeis! ;-)

🗨️ 2
BocaDePez
BocaDePez

Hala, no es para tanto.

Nos ha servido a algunos para aprender que una url determinada de una empresa importante puede haber sido redirigida a un servidor ajeno. Cosa que no sospechábamos.

Y le servirá también a telefónica para lo mismo.

🗨️ 1
BocaDePez
BocaDePez

No si ya se que no es para tanto... el problema es que lo que para ti y para mi es una "gracia" para los diferentes jefecillos de los innumerables departamentos de Movistar... no es tan "gracioso" y no les cuesta nada, joder a un pobre desgraciao.

Lo que quiero decir, es que detrás de estas poderosas empresas hay miles de subcontratas de "pringadillos" que se intentan ganar el pan como pueden y una cosa de estas le jode las fiestas sin NECESIDAD NINGUNA.

Como broma de los inocentes, pon una parida en la web pero no jodas a nadie. Es como colgar un monigote en la espalda al Nerd de la clase para que todos se rian de él... INNECESARIO.

BocaDePez
BocaDePez

Así es... De estas cosas deberian aprender. A nivel informático es terrible ver que un ISP como Telefónica no es capaz de mantener su web ordenada y bien scripteada, imagina la confianza que genera ver cosas como estas. Personalmente nunca he tenido Telefónica, ni de lejos pienso cambiarme a ellos.

Deberia darles verguenza de una manera bruta y descomunal, si fueran decentes harian una purga de su departamento web y de su web. Menudo desorden de código, redundante, parcheado, largo y mal optimizado. Y con los años les tirará aún peor la web si no se renuevan.

A ver si aprenden algo con esto... y menos mal que lo ha hecho alguien con buenas intenciones ... luego encima se quejaran legalmente o algo .. si es que..