jueves, 22 de abril de 2010

El cambio de sexo de Salomón

El titulo de este post puede parecer sensacionalista pero no lo es. En este post mostrare como, literalmente, Salomón cambio de sexo gracias a un error en el SCU (Sistema de Control de Usuarios) de la biblioteca. Al final pondré un vídeo demostrativo del fallo y prueba de la "subversión" de mi amigo(a).

Quien haya actualizado sus datos en el SCU sabrá que para poder modificar nuestra información personal necesitamos primero iniciar sesión con las credenciales de nuestro correo de la universidad en la siguiente pagina:

http://biblioteca.unmsm.edu.pe/scu/

Es obio que nos piden iniciar sesión para asegurarse que únicamente seremos nosotros los que modificaremos nuestros datos y no otra persona. Aquí está el error, pues descubrí que luego de iniciar sesión no solo puedes modificar tus datos sino también los de cualquier otro usuario.

¿Cómo es posible esto? Bien, lo que sucede es que el formulario para consultar y modificar los datos es generado por una pagina a la que solo podemos acceder después de iniciar sesión. Esta pagina es:

http://biblioteca.unmsm.edu.pe/scu/Usuarios/ResultadosCon.asp

Yo supongo que esta pagina se encarga de consultar la base de datos del SCU y buscar la información del usuario para luego construir el formulario y presentarlo. El detalle es que esa pagina recibe por parámetro el código del usuario que debe buscar en la base de datos sin validar si es ese el código del usuario que ha iniciado sesión.

Cuando iniciamos sesión el navegador automáticamente llama a esa pagina pasándole como parámetro nuestro código y por ello vemos el formulario para modificar nuestros datos sin embargo podemos llamar esa pagina pasándole como parámetro el código de otro usuario y obtendremos un formulario para cambiar los datos de ese otro usuario.

La llamada con parámetros seria:

http://biblioteca.unmsm.edu.pe/scu/Usuarios/ResultadosCon.asp?pag=1&cor=08200111

Donde debemos cambiar el valor de la variable "cor" por el código del usuario que queremos consultar.

Bien como ven es muy fácil. En resumen:
  1. Iniciamos sesión.
  2. Hacemos la llamada a la URL anterior cambiando el código de usuario.
¿Como descubrí este error? Pues active un sniffer (Wireshark) antes de iniciar sesión y capture todo el trafico HTTP. Luego revise los datos que capture y encontré esa URL medio sospechosa. Es que era obvio: Una pagina con el nombre ResultadosCon.asp quizá de "Resultados Consulta" que además recibe por parámetro mi código de alumno. Me pregunte ¿Y si cambio el código que pasa? Lo hice y ya tenía de que escribir en el blog.

Bueno aquí esta el vídeo del que les hable al principio.



Hasta pronto, espero que les haya gustado este post... y naa... no hagan travesuras.

Todo lo explicado aquí es solo con fines didácticos. El autor no se hace responsable del uso que se le pueda dar a esta información.

miércoles, 21 de abril de 2010

Ver las fotos de usuarios del SISBIB

Hola, en el post anterior les conté que se podía ver las fotos de los usuarios del SUM deduciendo la URL de la imagen. Ver:

http://alguienenlafisi.blogspot.com/2010/04/ver-las-fotos-de-usuario-del-sum.html

Pues bien, ahora que me toco renovar mi carne de biblioteca, mientras actualizaba mis datos en el SISBIB (sistema de bibliotecas) note que aparecía la misma foto que aparece en el SUM. Entonces vi la URL de la foto pensando que la estaría jalando desde el SUM pero me equivoque: el SISBIB tiene su propia carpeta de fotos con una copia de las imágenes. Y también se pueden ver sin necesidad de iniciar sesión ni tener ningún privilegio especial.

En este caso es mucho mas fácil pues el servidor del SISBIB permite indexar directorios. Es decir mostrar todo el contenido del directorio.

Para ver las fotos solo hay que escribir esto en el navegador:

http://sisbib.unmsm.edu.pe/fotos/

y a explorar un poco...

Bueno eso es todo por ahora....
Saludos, hasta pronto.

Todo lo explicado aquí es solo con fines didácticos. El autor no se hace responsable del uso que se le pueda dar a esta información.

sábado, 17 de abril de 2010

Ver las fotos de usuario del SUM

Hola, después de algún tiempo me he animado a escribir de nuevo. Esta vez para contarles de un problema que no considero muy grave, pero que es un problema a fin de cuentas. Se trata de la posibilidad de ver las fotos de usuario almacenadas en el SUM sin la necesidad de iniciar sesión, ser usuario o tener algún privilegio especial para ello. Como repito, no es un problema grave pero si es lamentable que parte de nuestra información personal este expuesta de esta manera. Sobre todo por quienes, como yo, salimos con cara de exconvictos.

Se pueden ver las fotos tanto de alumnos como de profesores. Lo unico que necesitamos saber es su código de usuario ya que las imágenes tienen por nombre el código de usuario y la extensión ".jpg". Es decir si el código de un usuario fuese "08200111" el archivo que almacena su foto tendria el nombre "08200111.jpg". El codigo del ejemplo es de mi amigo Salomón, quien me inspiro a crear este blog y por lo tanto es culpable directo de su existencia. Ver:

http://alguienenlafisi.blogspot.com/2009/03/este-es-el-primer-blog-y-tal-vez-el.html

Para averiguar los códigos de usuario podemos usar el directorio de la biblioteca.

http://biblioteca.unmsm.edu.pe/scudirectorio/

Bueno hasta este punto ya sabemos el nombre del archivo que buscaremos en el servidor. Solo nos faltaría saber en que directorio se almacenan las fotos. Las fotos de los alumnos y de los profesores se almacenan en ubicaciones distintas. La ubicación de las fotos de los profesores es:

http://sum.unmsm.edu.pe/fotos/docente/

Entonces para ver la foto de nuestro decano Carlos Navarro Depaz (087998) por ejemplo solo tenemos que escribir lo siguiente, en el navegador:

http://sum.unmsm.edu.pe/fotos/docente/087998.jpg

En el caso de los alumnos el método se complica un poco ya que las fotos no están en una unica carpeta. Las imágenes están en carpetas numeradas con el prefijo "foto". Así: foto00, foto01, foto02, etc. Las fotos de los alumnos mas antiguos estan en las primeras carpetas y de los alumnos nuevos en las ultimas. Supongo que la numeración de las carpetas va aumentando cada año conforme ingresan mas alumnos. Actualmente la numeración llega hasta "foto33".

En este caso tocara intentar unas cuantas veces hasta que demos con el directorio correcto. Probemos con la foto de Salomón:

http://sum.unmsm.edu.pe/fotos/foto33/08200111.jpg (Not Found)
http://sum.unmsm.edu.pe/fotos/foto32/08200111.jpg (Not Found)
http://sum.unmsm.edu.pe/fotos/foto31/08200111.jpg (OK)

Bien, como ven el procedimiento es muy simple y claro se puede automatizar. De hecho programé una aplicación que busca y muestra las foto de alumnos y profesores pero le haré unas mejoras y luego la compartiré. Por ahora solo les dejo un script en Java para buscar la URL de la foto de un alumno.

http://www.mediafire.com/?vm96uwcm8x9cwnm

Bueno, espero que les haya gustado este post.
Saludos y hasta pronto.

Actualización:

Ya esta publicado el programa para ver las fotos del SUM. Ver:

http://alguienenlafisi.blogspot.com/2010/11/codeviewer-gui-para-el.html

Todo lo explicado aquí es solo con fines didácticos. El autor no se hace responsable del uso que se le pueda dar a esta información.