DnZapping Suscribirse a DnZapping

Grave fallo de seguridad en Sedo

13 de diciembre de 2006 Tiempo estimado de lectura: 1,25 minutos.

Gracias a Noel,  Domisfera procede a informar de un fallo de seguridad en la plataforma Sedo.

El bug consiste en que Sedo no está pasando vía url las contraseñas cifradas, es decir, que si alguien coge la dirección que aparece en la url, una vez logueado, y la manda a otra persona, ésta podrá acceder a su cuenta de usuario en Sedo. Sin necesidad de conocer el usuario y contraseña.

Esto podría ser un grave problema, si por ejemplo, alguien le manda las estadísticas a un tercero pegando el link que figurar en la url del navegador. O si alguien accede a un ordenador donde ha habido alguien conectado a Sedo, pues se pueden saber las urls a las que se ha tenido acceso (una oficina, un cyber…)

Por ejemplo, partamos de esta dirección:

http://www.sedo.com/member/index.php3?partnerid=&language=es&tologin_x=0&tologin_y=0&session=141325%
257d89f5a528441d5a5de6bbe74f486bc7

Si la desglosamos por líneas:

http://www.sedo.com/member/index.php3?partnerid=&language=es&tologin_x=0&tologin_y=0&session=
141325 
%25
7d89f5a528441d5a5de6bbe74f486bc7

Si analizamos las direcciones web de Sedo, lo que sale tras session= y antes del % es el identificador de usuario, 141325 en este
caso, y luego, salen 34 letras tras el % son dos dígitos fijos, y luego un hash md5, es decir, una cadena de variables resumidas mediante una
fórmula que devuelven 32 caracteres, y que a partir de ese hash o resumen cifrado, no se puede sacar las variables originales.

Es probable que el identificador de sesión sea una de las variables cifradas en ese hash md5, ya que si el que originalmente se logueó, el
dueño de la cuenta, o el que posteriormente accedió cierra la sesión, no podremos seguir entrando con ese enlace.

Por lo menos, cada vez que se inicia sesión el hash varía.

Este Articulo fue publicado el 13 de diciembre de 2006 a las 13:37 en la categoria General, Parking y subastas. Puedes seguir los Comentarios a este Articulo traves de RSS 2.0. Puedes dejar un comentario o referenciar (trackback) desde tu web.

Google Yahoo Technorati Meneame Digg

4 Comentarios

  1. Óscar 13 de diciembre de 2006 a las 15:21

    Imagino que ya ha sido reportado a Sedo… En cualquier caso, no estoy a favor de airear los agujeros de seguridad. >:(

  2. David Carrero Fdez-Baillo 13 de diciembre de 2006 a las 19:08

    Supongo que sedo corregira el error, los habeis avisado ??

  3. domisfera.com 13 de diciembre de 2006 a las 19:15

    Sedo ha sido informado del bug.

    Desde Domisfera solo se avisa a los lectores para que la gente cambie su clave si lo considera oportuno y para que se extreme las medidas en el logueo.

    Conviene salir o cerrar la sesión de usuario si accedemos a Sedo desde un ordenador no seguro. o a traves de proxy.

  4. Jesus 15 de diciembre de 2006 a las 23:14

    Como descubridor del fallo os puedo comentar se ha avisado a sedo.com de este fallo.

Comentar: