VIE 21 ENE 2011

Cómo Hackeé iWiks En 10 Minutos El Día De Lanzamiento

Actualización: Yo no tiré el sitio. Sólo accesé a una cuenta. Ofrezco servicios de consultoría de seguridad. Si tuviera algo qué esconder, no lo publicaría en mi blog. Síganme en twitter @faelazo y contáctenme para dar una conferencia si están interesados en temas de seguridad, Internet y marketing.

Al parecer el hecho de ser mexicano te hace popular. Me he encontrado mucho de ese tipo de genios que se les ocurre una brillante idea: un [sitio popular], pero mexicano. Como si la nacionalidad fuera una ventaja competitiva. En algunos casos lo es, pero resulta muy difícil convencer a la gente de esto.
Pero así como tú, sabio lector, tanto como yo, sabíamos que un día esto iba a llegar. Un grupo de chavos de Tijuana crearon una red social que se llama iwiks y han logrado hacer un buen trabajo levantando el hype y diciendo que va a ser toda una revolución.

Desgraciadamente, la mejor calificación que le podría dar al proyecto es amateur motivado. Muchas cosas están hechas mal, aunque de alguna forma sacaron el proyecto. Pero no les durará mucho así. En este post explicaré paso por paso cómo hackear la red social. A ver hasta dónde llegamos.

Después del registro y una simple prueba, veo que el sitio es propenso a Cross Site Scripting. Tienen algunos filtros de HTML (o eso parece), pero son fácilmente sorteables:

<script>alert('therror.com rocks');//</scr</script>ipt>

Esto tiene un potencial casi infinito, pero no encuentro cómo agregar amigos, y si no hay otros usuarios, me voy a terminar hackeando yo solo. Y eso no es divertido. Así que hay que encontrar otra forma. Examinando un poco, mi imagen de perfil se ve un poco distorsionada y además es pesada. Las de los status también. Podría ser que están convirtiéndola a BMP y redimensionándolas tipo pixel-perfect. O simplemente las están redimensionando con HTML. Le doy click derecho, ver imagen y es cierto. Mi imagen está tal y como la subí.

Anteriormente descubrí que están utilizando CakePHP. Más adelante vamos a explotar esto. Por lo pronto, vamos a ver si podemos accesar al listado del directorio dejando la URL así: http://www.iwiks.com/files/ lo que nos redirige a http://www.iwiks.com/app/webroot/files y con este, el listado.

Cada una de las carpetas es el ID del usuario, dentro de estas hay las fotos que han cargado. Puedo controlar mi privacidad en iwiks? Seguro que sí. Hasta abajo hay algunos archivos incluídas las fotos de algunos de los fundadores.. o algo así. Ahora, no conozco a Pablo, que es a quien vi en el primer video que encontré, pero con ordenar por fecha encuentro el identificador de Quetzi (4d3012a0-9880-4974-b402-1370580d0480) con una foto de su perfil adentro. Seguro debe ser administradora.

No quiero ocasionar demasiados problemas, así que omitiré lo que hice aquí. Pero si saben un poco de cómo funciona CakePHP, podrán hacerlo. Teniendo el ID de Quetzi, resulta sencillo registrarse como ella.

Y mandarle un mensaje a Pablo.

La verdad fueron sólo algunos minutos los que tardé en hacer esto. No encontré un panel de administración en mis primeros intentos, probablemente no lo tengan. Desconozco si el resto de la aplicación tenga vulnerabilidades, pero no lo dudo. Me parece increíble que la gente innove, realmente hacer una red social es mucho trabajo, pero si aspiran a sobrevivir deben entregar un producto de mucha más calidad. Seth Godin menciona la regla de las 10 veces. Si quieren competir contra twitter o Facebook, iwiks debe ser por lo menos 10 veces mejor; no 10 veces más mexicano.

Si necesitan consultoría, estoy disponible e interesado. Aunque creo que no la aceptarían. En las entrevistas que he visto se ven muy seguros y orgullosos de su trabajo. No sé si reír o llorar al ver que tardaron 2 años en hacer esto y se les cayó en poco más de 12 horas. Si no probaron exhaustivamente su aplicación para las fallas más comunes, cómo esperaban sobrevivir?
Sólo una nota más: minimalista no tiene nada que ver con feo. El rato que la pude ver, el diseño era horrible, de simplista tenía mucho, de minimalista, nada; básicamente hay 3 timelines que no se distinguen las diferencias.

En fin, además de aumentar la seguridad, deberían dejar de experimentar con el home, contratar a un diseñador, mejorar el código HTML, implementar AJAX, comprimir las imagenes y enfocarse mucho a la experiencia de usuario.
Nadie triunfa por ser mexicano, o gringo o francés. Triunfan por chingones.

Cómo Hackeé iWiks En 10 Minutos El Día De Lanzamiento fue escrito por fael el día Viernes 21 de Enero de 2011 a las 3:47 pm.

Este post fue etiquetado: hacker, web, social, mexico, articulos.

Comentarios

No hay comentarios.

Agrega tu comentario

Quieres tu avatar? Ingresa con tu cuenta de twitter para comentar.