martes, 18 de octubre de 2011

Rompiendo el cifrado del SCU (VIDEO)


Que el SCU permitía ver la información de cualquier usuario, es un viejo fallo conocido por muchos y del cual ya hablamos antes. Actualmente el problema sigue presente pero parece haber sido olvidado y nada se está haciendo al respecto.

Hace mucho que reportamos este problema y lo corrigieron encriptando el valor de la variable afectada. Pero eso no bastaba. El cifrado que emplearon para "ofuscar" la variable no ha sido lo suficientemente fuerte y ya está resuelto. Así que a la fecha aún se puede acceder a la cuenta de cualquier usuario del SCU.

Esto también ya ha sido reportado, pero esta vez no se está haciendo nada al respecto. Por ello quiero compartir con ustedes un vídeo donde se muestra que es posible ver la información privada de cualquier usuario a través del SCU. El objetivo no es enseñar como se hace sino más bien informar a las personas afectadas (que somos todos los usuarios de la biblioteca de la UNMSM) para que sean conscientes del problema y tengan la libertad de tener una opinión y/o hacer algo al respecto.

En el vídeo se ha censurado los datos personales y fotos de las cuentas a las que se ha accedido. Solo se muestra parcialmente el código del carnet de usuario para hacer notar que son cuentas diferentes.




Un saludo.

2 comentarios:

  1. oe amigo quisiera preguntarte algunas secuencias de sql injection. si por favor podemos hablar agragame a tu correo msn fisi_067158@hotmail.com un estudiante de ing informatica del oriente peru.... Respondeme por este medio

    ResponderEliminar
  2. ok... no hay problema, te envie un mensaje a tu correo.

    Saludos...

    ResponderEliminar