¡Que no te cobren en Sexy o no!

Toda persona, en eso de conocer a una pareja del sexo opuesto ( o del mismo que para gustos y colores... ) siempre debería tener el privilegio de permitirse una segunda oportunidad, pero no siempre se da esa coyuntura. Más triste es cuando no está en nuestras manos ni tan siquiera ese primer contacto. Es decir, que nos “hagan la cobra” por Internet.

La cobra, para los no acostumbrados al argot de la noche, viene a significar ese movimiento de cuello que algunas chicas suelen realizar con el cuello, consiguiendo en un tic, poner tierra de por medio entre tú y ella. Digno movimiento de una cobra.

Hay que tener astucia en este terreno para llegar a trampear lo que para algunos o algunas, puede parecer Sexy o No. Pero no me refiero a esa astucia que te hace llevar el último modelo de bambas, o el peinado a lo CR7, sino a saltarnos las normas y entrar a saco, como a nosotros nos gusta.

Un domingo noche, cuando me cansé de hacer zapping, se me ocurrió entrar de nuevo en la conocida página de Sexy O no, para ver si encontraba algo más entretenido. ¡Y vaya si lo encontré! nada más ni nada menos, que una vulnerabilidad en el control de peticiones de amistad - responsable de que podamos acribillar a cualquier usuario a mensajes privados como si hubieran aceptado nuestra solicitud de amistad -. He aquí el proceso, que tras ponerles un mensaje para que lo arreglen, nos han hecho caso omiso... así que ¡viva la amistad!

El funcionamiento del proceso en la web es muy simple. Cuando nos interesamos por una persona sobre la foto que está publicada, sobre nuestra foto aparece un banner encima, con el siguiente recuadro en rojo.

 Figura 1: Banner de petición de amistad

Si acepta la petición, automáticamente se agregará a nuestro listado de “coincidencias”, con lo que tendremos el privilegio de poder charlar con ella. Lógicamente, si hace clic en “No”, se pasará a la siguiente imagen sin aceptar a nadie. Las demás imágenes aparecerán - en caso de terminar con las peticiones de amistad - sin ningún tipo de banner, con lo que se entiende que al presionar en “Si”, se estará enviando nuestra propia petición a los demás participantes.

Pongámonos en el caso, de que la chica a la que siempre enviamos el “Si”, jamás acepta nuestra petición por razones obvias - para ella  ¬¬ -.

  Figura 2: ¿Quieres conocerlos?

FOR EXAMPLE…

El fallo reside en las variables que enviamos mediante el método POST, detrás de cada clic sobre los botones "Sí" y "No". Con lo que si presionamos sobre el “Sí” e interceptamos la petición, nos encontraremos con los siguientes parámetros:

“codigodeusuario=” con el que identificaremos a la persona.
“Invitado=” si dicha persona nos envió solicitud.
“Aceptado=” si ya somos amigos del usuario.
“Logueado=” si actualmente está dentro de la sesión.
“sexo=” Femenino o masculino.
“OrientacionSexual=” para gustos colores.
“Conocer=” Si deseamos conocer o no a la persona, “S” o “N”.

Modificando al vuelo el valor de “Invitado=”, sobre el usuario que presionemos “Sí”, podremos auto-invitarnos para aceptar a cualquier usuario. Tan solo incluyendo una “S”, conseguiremos agregarlo a nuestra lista de coincidencias, como si él o ella nos hubiera invitado previamente.

 Figura 3: Modificación de parámetros en envío

La modificación hará que la página cambie su alerta y consigamos agregar a los usuarios, sin confirmación de su parte.

 Figura 4: Agregada con éxito

Ahora sí, podremos ir de aguilillas sin miedo, pues contaremos con la posibilidad de contactar con los miles de usuarios registrados.

 Figura 5: Enviando un mensaje privado a la otra persona

 Los mensajes se enviarán, gracias a que en sus perfiles, también apareceremos como agregados.

 Figura 6: Mensaje enviado

Si alguien quisiera portarse mal, quizás programar un gusano que enviara un mensaje a todos los perfiles que cumplan algún patrón, y evaluar cuantos de ellos han enviado una respuesta satisfactoria y esperada a una petición de cariño. No hay nada como reemplazar a tu amigo el "scanner de discotecas" por un pequeño script. Imagina la colección… ;)

 Figura 7: Colección para todos los gustos...

  Mientras que el guantazo por Internet no duela, se puede decir que estaremos a salvo de hacer el ridículo… o no.

 Figura 8: Vaya... un FAIL

 Autor: Germán Sánchez
Un tal 4nonymous en el PC