Seguridad en los Blogs

Hace un rato atras, Roberto Arancibia, el dandy chileno de los blogs, de El Mundo Sigue Ahí, publicó el post titulado: Hackean Blog de Piñera!!, desde donde me entero que al ingresar a un artículo publicado en el blog de Sebastián Piñera, este te envia al sitio de la candidata de la concertación, Michelle Bachelet.

La curiosidad me hizo entrar al sitio y comprobar personalmente que era lo que estaba ocurriendo en el sitio o en los comentarios, que de ahí debe haber comenzado todo.

Tal como nos contaba Roberto, el sitio en un par de segundos nos enviaba derechito, al sitio de la abanderada de DC.

Tras cargar nuevamente la página y haciendo Stop para que no me redireccione me puse a investigar el HTML del sitio y no fue sorpresa encontrarme casi al final, en el último comentario lo siguiente:

<META HTTP-EQUIV="Refresh" CONTENT="5; URL=http://www.michellebachelet.cl">

Para los entendidos en HTML podrán notar inmediatamente que este TAG propio del HEADER de un HTML, hace actualizar el sitio en una cantidad de segundos programada, o sea puedo hacer que en 0 segundos me redireccione a otro sitio. En este caso algun personaje nacional, no contento con el candidato renovacionacionalista (palabra que creo acabo de inventar), agregó este tag a un comentario.

¿Pero como es tan facil que cualquier persona pueda cambiar un sitio?

En realidad no debería ser para nada de facil. De partida un sistema de gestión de contenidos debería encargarse, antes de publicar cualquier comentario, que este no contenga ningún tipo de tags HTML más que algunos típicos de formato de texto como <strong> <img> <em> <a> <li> <ul> y con eso es suficiente. Incluso muchas veces no es necesario permitir HTML en los comentarios, ya que estos generalmente no son largos y no incluyen, o incluyen pocas, URLs, texto en negritas, cursivas, listas e imágenes. Están de sobra.

¿Es importante mantener esta seguridad?

Por su puesto que es importante mantener siempre todos los aspectos de un gestor de contenidos muy seguros, ya que facilmente se podrían realizar otro tipo de ataques solamente aprovechando esta vulnerabilidad tan pequeña.

Ojo administradores. Cuiden sus sistemas, esten al tanto de las actualizaciones de sus gestores de contenido, o si crean sus propios sistemas, cuidado con la codificación, que aveces una linea menos o una linea de más, pueden ser importantes a la hora de la seguridad del sistema.

Tags: Uncategorized

Suscribete

¿Quieres recibir en tu correo las últimas noticias y artículos de este blog?

Entre los suscriptores, se sorteará un año de hosting gratis equivalentes a la cantidad de personas registradas.

(El sorteo se realizará cuando el número de suscriptores supere las 200 personas)

by FeedBurnerfeedburner

11 Comentarios para “Seguridad en los Blogs”

RSS & Trackback
  1. Gravatar Icon Federico
    Sep 30th, 2005 > 7:51 pm

    También podría pegarsele con un palo a los navegadores ignorantes que hacían honor a ese código. :S

  2. Gravatar Icon Roberto
    Sep 30th, 2005 > 7:59 pm

    Claro, ahora que leo tu explicación la encuentro fácil y seguro un montón de geeks comentarán, oh qué fácil, cualquiera lo hace, pero un gil fue el primero.
    Te doy todo el crédito de la iluminación tecnológica. Jamás habría pillado el truco. Supongo que ahora muchos revisarán sus sistemas.

    (Todavía sigue igual el blog del candidato)

    Saludos Cristián

  3. Gravatar Icon Salvatore
    Sep 30th, 2005 > 8:49 pm

    Ergg se peuden hacer cosas aun peores que no voy a explicar pero basta con tirar un jscript y ver las cookies o incluso algunas cosas de la base de datos.. una regla fundamental de seguridad en inet es no permitir que cualquier usuario pueda escribir cualquier tag html ^^’

    No se quien fue el que se gano las lukas vendiendole el blog a piñera pero creo que se las gano harto facil y sin saber mucho.

    algunos tag que se deben prohibir:

    pero en realidad eso no basta ya que cualquier tag puede servir para hacer travesuras si se puede incorporar cosas que no sean atributos html tipicos..

    por ejemplo javascript dentro de los tags.. es decir no permitir que se escriban cosas como

    mujeres desnudas

    bueno se entiende la idea..

    Wordpress trae incluida una proteccion en los comentarios no se si bloger lo hara..

  4. Gravatar Icon Salvatore
    Sep 30th, 2005 > 8:51 pm

    argg me parseo el codigo que habia escrito dentro del tag ^^

  5. Gravatar Icon Salvatore
    Sep 30th, 2005 > 8:54 pm

    No quiero parecer spam pero me falto un detalle importante:

    http://www.viper007bond.com/wordpress-plugins/code-display/

    ese plugin de wordpress permite parsear el html que se pone dentro de

  6. Gravatar Icon Andres Fuenzalida
    Sep 30th, 2005 > 10:10 pm

    A ver. yo estoy a cargo del sitio de Sebastian. En verdad estoy avergonzado de lo que paso. El punto es que el sitio se mando a hacer a una empresa llamada Digitalmente (www.digitalmente.cl) que supuestamente sabian lo que hacian. Despues de muchas peleeas con ellos terminamos el contrato. ahora estamos corrigiendo todas las fallas que tenian los sitemas que ellos vendieron como desarrollos propios, los cuales eran en su mayoria solucoines opensource q le cambiaron los logos. En verdad estoy super desepecionado de esa empresa. Ojala no hayan mas giles como nosotros que les compren softwares. En todo caso ya corregi el problema. Para los que les interesa, a parte de borrar el post, lo que hice fue agregar esta linea al motor del blog: $comments=strip_tags($comments); para los que saben php es muy obvio. Espero les sirva de ayuda a quienes esten revisando la seguiridad de sus sitios.

  7. Gravatar Icon EduardoE
    Oct 1st, 2005 > 3:39 am

    En general la gran mayoría de los sistemas de gestión de blogs como WordPress, Movable Type, Serendipity y Blogger traen incorporado el mecanismo de “HTML permitido” en que eliminan todos los tags que no cumplan con los criterios definidos.

    Y en algunos gestores como WP se puede incluso prohibir el uso de HTML y que sea reemplazado por un sistema de tags que sea más reducido de capacidades (Markdown, BBCode, etc).

  8. Gravatar Icon konus
    Oct 2nd, 2005 > 12:23 am

    Uhmmm … yo he tenido que ayudar a un par de amigos en sus sitios, por comentarios del tipo [div style=”width=1024;heigth=768″] con alguna cosa dentro, nada de redirecciones…

  9. Gravatar Icon Cristian
    Oct 2nd, 2005 > 1:31 am

    Andres, es importante lo que dices y es muy cierto. La empresa que nombras, asi como muchas otras, hace uso de software OpenSource sin respetar en un pelo las licencias de uso de estos. Cada ves que veo esto me produce mucho desagrado, ya que se pasa a llevar de una forma muy grotesca, a los desarrolladores de software.

    Salvatore, pa la próxima te baneo :P jaja

  10. Gravatar Icon webtz
    Oct 10th, 2005 > 1:37 am

    El tipo de vulnerabilidad que tenia en este caso el blog del candidato era del tipo cross site scripting (xss).
    El sistema de blog que le “vendieron” fue jaws ya que copiando parte de la url , pegándola en google podemos llegar a otro sitio con el mismo script instalado y que tenga el footer activo.

  1. Eduardo al día » Seguridad en blogs Pingback en Oct 4th, 2005 > 12:04 am

Comenta


Flickr

BingBag Partículas, partículas, partículas BingBag BingBag Cells blending Cells blending Ligths blendings Ligths blendings Ligths blendings Ligths blendings Ligths blendings Ligths blendings Ligths blendings Line blending text TrimarchiDG en Universidad de las Américas TrimarchiDG en Universidad Mayor Acampante + Pacheco en Arcos Laser directo a la cámara Laser directo a la cámara LEDS a la cámara 

Add to Technorati Favorites!