Category Archives: Bugs

Freedns Afraid, Agrega los dominios que quieras

Bueno esta publicación consiste en mostrar una forma sencilla de agregar los dominios que queramos a una sola cuenta DNS Gratis que tengamos en el muy buen servidor de nombres de Afraid.

A mi gusto freedns.afraid.org es la mejor plataforma gratis que existe para administrar nuestros dominios, ya que nos ofrece un servidor DNS configurado en una plataforma rápida y amigable, bajo un sistema estable y que llevando alrededor de 6 años ocupandola no e sabido de ninguna caida.

Si no me equivoco Afraid nos permite administrar solo 3 dominios, luego de eso ya no nos aparece la opción de agregar mas, por lo que tenemos que crearnos una nueva cuenta para administrar otros dominios… Osea No necesariamente, ya que existe una forma facil, “muyy facil” de seguir agregando dominios, consiste en solo estos dos pasos: Continue reading

UTA .cl – Accede a "TODOS" los recursos de la Intranet.

En esta oprtunidad dispondré de una metodología que permite al Alumno perteneciente a la Universidad de Tarapacá acceder a todos los recursos de todos los ramos abiertos de cualquier carrera en la Intranet de esta casa de estudios.

¿Que es la Intranet de la Universidad de Tarapacá?

Esta casa de estudios dispone de un servicio llamado “Intranet”, el cual no es nada mas que una herramienta para el alumno (entre muchas otras), que le permite a el interactuar con su profesor, permitiéndole entre otros, acceder a las notas del curso, asistencia, mensajes y, por supuesto, un sitio de “recursos” que son documentos, libros, archivos en general que están a disposición única del alumno que tiene inscrito el curso (En teoría).

Finalidad de la publicación

Si bien lo descrito posteriormente puede ser “facilmente” ocupado de una forma mal intencionada, la finalidad de esta publicación es que todos alumnos que quieran acceder a los recursos de un ramo y no lo tengan activado (sin acceso a el), ya sea por espera de una solicitud, por ser un alumno libre o cualquier otro motivo similar, puedan acceder a ese ramo e interactuar correctamente en el curso que se esté dictando, obviamente esto también es permitido para aquellos curiosos osciosos que deseen solo tener muchos documentos en su computador o quieran “aprender” otras asignaturas, en fin, puede servir para lo que quieran.

Limitaciones

Si bien existe una metodología o forma que vulnera “todas” las seguridades del sistema (sin limitaciones), yo “no” enseñaré ni publicaré nunca dicha metodología, esto es debido a que simplemente quiero dar esta herramienta para un uso productivo “exclusivo” al alumno regular de la Universidad, por esto último la limitación de esta herramienta es que solo pueden acceder a usarla alumnos que tengan acceso a la intranet y posean su nombre de usuario y contraseña respectiva, así como tambien, otra limitación sería que las personas encargadas del sistema arreglen esta vulnerabilidad, en este caso, buscaría otra forma de acceder.

Bien, acá les enseño todos los pasos que tienen que hacer para acceder a los recursos de otras asignaturas o las que quieran:

Continue reading

Bug en sitio de empresa avn.cl, Avenida Vespucio Norte.

Introducción:

Como la gran mayoría sabe, una de las cosas que ha cambiado mucho en Chile (generalmente en su capital, Santiago), es el “progreso” con respecto a las carreteras y autopistas en general, esto es algo que de desde las politicas externas del país se ve muy bien y coloca a Chile como un pais “moderno” en este tema específico, pero internamente se han provocado cientos de conflictos con respecto a algunos cobros desmedidos y aprovechamiento político en general, reclamos en si por el largo tiempo en que las personas comunes tenemos que pagar por este progreso, y la falta de opciones alternativas como casos extremos de esto (Por ej. Ruta 5 La serena – Santiago), pero en fin, digamos que esto es solo un tema común que sucede en todo el mundo y discutir y/o exponer esto, bajo mi criterio es una pérdida de tiempo.

La gran mayoría de estas empresas que tienen la concesión de autopistas disponen de un servicio de consulta online y una red privada virtual entre el usuario y la empresa en donde se manipulan datos personales privados de sus clientes, nos estamos refiriendo a datos que por ningún motivo ni escusa pueden ser expuestos a terceros, pero resulta que no es así, existe una empresa en particular que dispone de un sistema “vulnerable” que le permite a cualquier persona, acceder a esta información 100% confidencial y poder ocupar esta información, divulgarla e incluso “modificarla” desde el mismo sitio sin que existan trabas de seguridad mínimas en el proceso.

Contenido:

Intento mostrarles lo que yo considero un error (Bug) “grave” de una empresa concesionaria de autopistas específica que pone a disposición de terceros, por medio de un sistema de consulta de cuenta online, datos relevantes e importantes “personales” de sus clientes.

En detalle me refiero a la siguiente empresa.

avn Nombre de la empresa: Autopista Vespucio Norte.
Sitio Web: http://www.avn.cl/
Responsable: No se especifica.
Proteccion bot-net: NO!!!

-
¿Que necesitas para explotar esta vulnerabilidad?

El rut de un cliente.

¿Que nos permite obtener esta vulnerabilidad en si, solo conociendo el “rut”?

- Monto adeudado con la empresa.
- Nombre completo de la persona, (Nombres y apellidos materno y paterno).
- Patente y descripción de sus vehículos inscritos en la autopista.
- Acceso a Modificar “Toda” la información personal de los clientes.
- Entre otras detalladas a continuación.

El bug:

A continuación detallaré paso por paso de que se trata y como explotar esta vulnerabilidad:

Nota: La información expuesta a continuación es mostrada solo con el fin de “exponer” y dar a entender la facilidad que existe en obtener esta información. Continue reading

Bug en Live Mail (Hotmail) Web.

Como muchos lo saben antiguamente hotmail consistía en un diseño azul ligeramente pesado y lento, no se que habrá pasado después, pero todas las cuentas espesaron a pasarse de a poco a una administración de correo vía “web” llamado “Live Mail” cuya dirección es http://mail.live.com/ ahora, todos los usuarios de cuentas @hotmail.com tienen a disposición este sistema y el antiguo diseño y sistema hotmail ya no existe. Apenas recibí la invitación que decía mas o menos así .-”Únete a esta herramienta de prueba llamada Live Mail beta, podrás ver las nuevas funcionalidades, bla bla bla…”, me uní e inmediatamente me puse a examinar las muchas y potentes (en teoría) funcionalidades que tenía, y me encontré con esta falla enorme, un error idiota, que se les fue de las manos, empecé enviar correos al staff de Live mail y hotmail indicándoles la falla y el como solucionarla, pasaron como 4 años y el error no hace mucho lo arreglaron, no se si habrán leído mis correos, pero el tema es que hotmail expuso este error durante mucho tiempo, lo pasos a seguir para usar este error eran los siguientes, paso a paso. Continue reading