Toda persona, en eso de conocer a una pareja del sexo opuesto ( o del
mismo que para gustos y colores... ) siempre debería tener el privilegio de
permitirse una segunda oportunidad, pero no siempre se da esa coyuntura.
Más triste es cuando no está en nuestras manos ni tan siquiera ese
primer contacto. Es decir, que nos
“hagan la cobra” por
Internet.
La cobra, para los no acostumbrados al argot de la noche, viene a
significar ese movimiento de cuello que algunas chicas suelen realizar
con el cuello, consiguiendo en un tic, poner tierra de por medio entre
tú y ella. Digno movimiento de una cobra.
Hay que tener astucia en este terreno para llegar a trampear lo que para
algunos o algunas, puede parecer Sexy o No. Pero no me refiero a esa
astucia que te hace llevar el último modelo de bambas, o el peinado a lo
CR7, sino a saltarnos las normas y entrar a saco, como a nosotros nos gusta.
Un domingo noche, cuando me cansé de hacer zapping, se me ocurrió entrar de nuevo en la conocida página de
Sexy O no,
para ver si encontraba algo más entretenido. ¡Y vaya si lo encontré!
nada más ni nada menos, que una vulnerabilidad en el control de
peticiones de amistad - responsable de que podamos acribillar a
cualquier usuario a mensajes privados como si hubieran aceptado nuestra
solicitud de amistad -. He aquí el proceso, que
tras ponerles un mensaje para que lo arreglen, nos han hecho caso omiso... así que ¡viva la amistad!
El funcionamiento del proceso en la web es muy simple. Cuando nos
interesamos por una persona sobre la foto que está publicada, sobre
nuestra foto aparece un banner encima, con el siguiente recuadro en
rojo.
Figura 1: Banner de petición de amistad
Si acepta la petición, automáticamente se agregará a nuestro listado de
“coincidencias”, con lo que tendremos el privilegio de poder charlar con ella. Lógicamente, si hace clic en
“No”,
se pasará a la siguiente imagen sin aceptar a nadie. Las demás imágenes
aparecerán - en caso de terminar con las peticiones de amistad - sin
ningún tipo de banner, con lo que se entiende que al presionar en
“Si”, se estará enviando nuestra propia petición a los demás participantes.
Pongámonos en el caso, de que la chica a la que siempre enviamos el
“Si”, jamás acepta nuestra petición por razones obvias - para ella ¬¬ -.
Figura 2: ¿Quieres conocerlos?
FOR EXAMPLE…
El fallo reside en las variables que enviamos mediante el método
POST, detrás de cada clic sobre los botones
"Sí" y
"No". Con lo que si presionamos sobre el
“Sí” e interceptamos la petición, nos encontraremos con los siguientes parámetros:
“codigodeusuario=” con el que identificaremos a la persona.
“Invitado=” si dicha persona nos envió solicitud.
“Aceptado=” si ya somos amigos del usuario.
“Logueado=” si actualmente está dentro de la sesión.
“sexo=” Femenino o masculino.
“OrientacionSexual=” para gustos colores.
“Conocer=” Si deseamos conocer o no a la persona, “S” o “N”.
Modificando al vuelo el valor de
“Invitado=”, sobre el usuario que presionemos
“Sí”, podremos auto-invitarnos para aceptar a cualquier usuario. Tan solo incluyendo una
“S”, conseguiremos agregarlo a nuestra lista de coincidencias, como si él o ella nos hubiera invitado previamente.
Figura 3: Modificación de parámetros en envío
La modificación hará que la página cambie su alerta y consigamos agregar a los usuarios, sin confirmación de su parte.
Figura 4: Agregada con éxito
Ahora sí, podremos ir de
aguilillas sin miedo, pues contaremos con la posibilidad de contactar con los miles de usuarios registrados.
Figura 5: Enviando un mensaje privado a la otra persona
Los mensajes se enviarán, gracias a que en sus perfiles, también apareceremos como agregados.
Figura 6: Mensaje enviado
Si alguien quisiera portarse mal, quizás programar un gusano que enviara
un mensaje a todos los perfiles que cumplan algún patrón, y evaluar
cuantos de ellos han enviado una respuesta satisfactoria y esperada a
una petición de cariño. No hay nada como reemplazar a tu amigo el
"scanner de discotecas" por un pequeño script. Imagina la colección… ;)
Figura 7: Colección para todos los gustos...
Mientras que el guantazo por Internet no duela, se puede decir que estaremos a salvo de hacer el ridículo… o no.
Figura 8: Vaya... un FAIL