Login Barrapunto
La página de la Presidencia Europea atacada con XSS
Así es amigos. La página de la Presidencia Española Europea fue atacada mediante XSS, dejando la estampa del actor que hace de Mr. Bean, Rowan Atkinson. Sin duda, los doce millones de euros mejor invertidos por parte del Estado Español.
La página de la Presidencia Europea atacada con XSS
|
Log in/Crear cuenta
| Top
| 67 comentarios
| Buscar hilo
Y recuerda: Los comentarios que siguen pertenecen a las personas que los han enviado. No somos responsables de los mismos.
12.000.000 eurazos
(Puntos:1, Inspirado)¿Alguien dijo insurrección fiscal [barrapunto.com]? Me parece que no sólo es un derecho, sino una obligación moral.
Re:12.000.000 eurazos
(Puntos:5, Inspirado)( http://castrads.com/ | Última bitácora: Martes, 05 Enero de 2010, 00:31h )
Mientras tanto otros proyectos como Wikipedia se mantienen con diez millones de dólares (siete millones de euros) durante todo un año, con un tráfico infinitamente superior.
Soy un feliz eunuco y he venido a exterminar los trolls de BP
Re:12.000.000 eurazos
(Puntos:5, Divertido)( http://127.1/ )
Nada por aquí, nada por allá... ¡Y los 12M€ ya no están!
"Brindemos por el alcohol, causa, y a la vez solución, de todos los problemas de la vida." -- Homer J. Simpson
¿Quien a dicho quien?
(Puntos:3, Informativo)en el artículo 135.3 de la Ley 30/2007 de Contratos del Sector Público y de
conformidad con su contenido, he resuelto adjudicar provisionalmente el
contrato de Servicio de asistencia técnica de la instalación y
funcionamiento de los medios de telecomunicaciones, sistemas informáticos,
servicios de videostreaming y alojamiento, gestión y seguridad de la página
web para la Presidencia Española de la UE a las empresas TELEFÓNICA DE
ESPAÑA, SAU, con el C.I.F. A82018474, y TELEFÓNICA MÓVILES ESPAÑA, SAU, con
el C.I.F. A78923125, que se comprometen conjunta y solidariamente a ejecutar
la citada prestación en la cantidad de ONCE MILLONES CIENTO NOVENTA Y CUATRO
MIL EUROS (11.194.000,00
El Gobierno de España, niega la mayor ...
(Puntos:2)( http://www.loeda.net/ | Última bitácora: Martes, 08 Diciembre de 2009, 21:30h )
Recordemos otra chapuza como fue la pagina web del Congreso de los Diputados [anieto2k.com]
La Zapatilla Azul [loeda.net]
Tan solo son cuestiones personales
Explicación de la falla
(Puntos:1, Informativo)La vulnerabilidad persiste
(Puntos:2, Informativo)( http://www.pikoh.es/ )
La ignorancia es la madre del atrevimiento
Me quito el sombrero ante Telefónica
(Puntos:1, Inspirado)En el error aparece:
Es decir, que ni siquiera se han molestado en desarrollar nada propio con esos 12 millones de euros, les han plantado un opencms y santas pascuas. Aplaudo el uso de tecnologías opensource, pero a todos los efectos Telefónica Soluciones ha batido el record del hosting más caro del mundo con la menor calidad/precio. Doce millones de euros por una página guarripei por debajo de los estándares de calidad de la desaparecida geocities.
Me quito el sombrero, esto no es una estafa, es el arte de la estafa. Ahora me explico cómo Telefónica es la segunda mayor operadora del mundo, son unos cracks.
No ha sido un XSS sino un defacement
(Puntos:2, Informativo)No ha sido sólo un XSS, quien haya dicho eso MIENTE. Cambiaron la página de inicio para que redirigiera automáticamente a otra con la imagen de Mr. Bean (esta segunda con un XSS), pero ha sido un defacement [wikipedia.org] en toda regla.
Esto es MUY GRAVE, el peor ataque posible a una web. Un defacement es peor que tener la máquina caída. Es hoy portada de El Mundo.
Telefónica arregló rápidamente el defacement, y el problema secundario del XSS ha durado todo el día. Pero repito, lo grave ha sido el defacement. Sencillamente humillante.
Alierta debe dimitir.
Derechos de autor
(Puntos:2)Es bastante triste que en barrapunto muchos de los mensajes discuten si el xss es o no una vulnerabilidad y no los 12 millones.
los medios recogen mal la noticia
(Puntos:3, Informativo)( http://barrapunto.com/ | Última bitácora: Jueves, 31 Diciembre de 2009, 13:12h )
Igual la diferencia es sutil para un neofito en informatica, pero hace que tal afirmacion sea falsa.
Los visitantes normales verian la pagina sin cambios. En cambio los visitantes engañados para utilizar un enlace contaminado por el XSS, verian la pagina modificado tal cual fuera el gusto del cracker.
Un defacement normal aprovecha una vulnerabilidad para colarse en el hosting de la pagina, o modificar datos de la pagina en su hosting (por ejemplo una template en la base de datos).
Esto permite que un enlace especialmente creado por el cracker ejecute lo que el cracker quiera en la pagina a la que enlaza, cuando alguien utiliza el enlace proporcionado por el cracker, un tipico XSS, vamos.
El fallo de "el mundo" al dar la noticia se puede deber a que en ocasiones anteriores no se trataba de un XSS, por tanto no conocian/comprendian aun este tipo concreto de ataque y lo han redactado siguiendo el "patron" de ataques anteriores.
Si "Telefonica" falla en tecnologia basica (escapar html), el periodico "El Mundo" falla en redaccion de noticias (revisar un tema técnico por un técnico antes de ponerlo en portada con letras gordas)
¿ Atacada ?
(Puntos:3, Divertido)( http://barrapunto.com/ )
12 millones y no funciona...
(Puntos:1)( http://www.mi-moto.com/ )
es lo que pasa con las subcontratas
(Puntos:1)Re:El XSS no es una vulnerabilidad
(Puntos:1, Informativo)Re:El XSS no es una vulnerabilidad
(Puntos:2)( http://barrapunto.com/ | Última bitácora: Sábado, 05 Diciembre de 2009, 02:11h )
Por cierto, según el link, la seguridad del sitio la tienen contratada con Telefónica. Ahora, ¿nos harán descuento por la chapuza?
Manifiesto en defensa de los derechos fundamentales en internet [bit.ly]
Re:El XSS no es una vulnerabilidad
(Puntos:2)( http://barrapunto.com/ | Última bitácora: Lunes, 16 Noviembre de 2009, 23:33h )
Marcos (cualquier parecido con la coincidencia es pura realidad)
Re:¿Cómo?
(Puntos:4, Informativo)( http://barrapunto.com/~AgD/journal/ | Última bitácora: Jueves, 07 Enero de 2010, 16:03h )
Fuente 1 [herramientas.net]
Fuente 2 [formateate.com]
y por supuesto:
FUENTE 3 [eleconomista.es]
Re:El XSS no es una vulnerabilidad
(Puntos:2, Informativo)Re:El XSS no es una vulnerabilidad
(Puntos:2, Inspirado)Los foros sanean y escapan el html. Cualquier página web decente lo hace, incluso las que cuestan menos de 12 millones de euros.
Re:Mensaje del Rey
(Puntos:1)( Última bitácora: Miércoles, 23 Diciembre de 2009, 06:39h )
Vale, redirección en el browser de eu2010.es hacia youtube. Es como si usaras this.location/this.reload en javascript, por lo cual la web eu2010.es no ha sufrido ningún ataque real.
Destaca decir que con POO esto no pasaría.
Un cordial saludo,
Re:El XSS no es una vulnerabilidad
(Puntos:1, Interesante)¿que tipo de paleto informático eres tú?.
Eso es una vulnerabilidad en toda regla y si no son capaces de escapar código "html" no quiero imaginarme la mierda que hay por ahí dentro.
Tranquilo, que tampoco hay crisis aunque solo lo "vea" ZetaP
Re:El XSS no es una vulnerabilidad
(Puntos:3, Inspirado)( http://barrapunto.com/ | Última bitácora: Jueves, 31 Diciembre de 2009, 13:12h )
Decir que XSS no es una vulnerabilidad porque solo afecta a los clientes seria como decir que un cajero automatico crackeado que permite robar solo a los clientes (y no al banco) es seguro.
Aparte, que tu no imagines como explotar un XSS para hacer cosas bastante malignas, no quiere decir que estan no existan. Cualquier fallo de seguridad pequeño se puede utilizar para abrir mayores.