MIÉ. 30 MAR. 2011

Volví A Hackear iWiks

Por un comentario en el post original, me di cuenta que iWiks está de vuelta. Los últimos días sufrí mucho, pensando que ya no volverían, pues el mes estaba a punto de acabarse y la fecha de “principios” o “mediados” de Marzo había pasado y por mucho.
Tras abrir el enlace, no sabía qué esperar. Recibieron feedback —a veces muy duro—, habían tenido tiempo, abrieron la convocatoria a programadores, crearon un poco más de ruido y dijeron haber aprendido de sus errores.
Sin embargo era claro que estaban verdes, que quien sea que haya estado frente al código tenía muy poca experiencia, no sabían diseñar, no tenían un producto central y carecía totalmente de seguridad. Y no hablemos del tema de la experiencia del usuario, usabilidad y accesibilidad.

Lo primero que vi fue un login muy similar al de la primera versión. Haciéndole al diseñador, intentando innovar y sacrificaron, incluso desde los primeros segundos, la oportunidad de convertir un visitante a un usuario. No por nada facebook despliega su forma de registro sin necesidad de un click extra.

Uno de los conceptos fundamentales de CakePHP es la persistencia de los datos entrados en las formas. Esto permite validar los datos y simplemente pedir que se arreglen si uno está mal. Sin embargo, no se utiliza esto ni por error. Te equivocas en un campo y tienes que llenarlo todo de nuevo. Además son muchos campos. En fin, procedí a registrarme.

Como no soy más que un script kiddie, lo primero que hice fue probar si podía inyectar HTML con mi técnica de la primera vez.

Envié la forma y… nada. De hecho, no sólo eliminó los tags de HTML, sino comillas, el punto y coma y las diagonales. Esto no pintaba nada bien, así que intenté otra vez:

Y el resultado fue..

Sí, iWiks aumentó la seguridad considerablemente; ahora prácticamente sólo podemos poner caracteres alfanuméricos y otros pocos más.

Ahora, lo siguiente que vi fue que a cada mensaje se le puede adjuntar un archivo. Ejecutado de forma pésima, pues el input del archivo es más grande que el botón de publicar. Subí un par de imagenes para probar. Podría subir algún script en php? Bueno, la respuesta corta es sí. iWiks de alguna forma logró ser menos seguro que la última vez y menos usable. Creé una pequeña interfaz que emulara un SSH. A ver qué podía lograr.

Primero encontré dónde estaba la aplicación.

Luego me dio curiosidad por ver el código, así que lo metí en un tar y lo descargué.

Para mi sorpresa, la aplicación entera es un solo controlador, mismo que explica mucho de las funcionalidades de iWiks, en cuestión de seguridad.

Así es, utilizan el método Paranoid para evitar el HTML… y de paso que la gente escriba con más de 50 caracteres diferentes. Se ha convertido en una red social que no acepta preguntas.

Sería difícil encontrar una red social ejecutada de peor forma. Yo no sé qué les pasó por la cabeza al sacrificar libertad de escribir cualquier caracter en favor de la seguridad. Definitivamente hay mejores formas de manejar este tipo de cuestiones, htmlentities es una de ellas, pero hay muchas.

En resumidas cuentas, iWiks sigue en las mismas. Es una verdadera lástima que no acepten ayuda. Ayer mismo, que descubrí el tremendo hueco, le envié un email a Grover, mismo que no ha sido contestado, pero ya el sitio provisional ha sido desactivado, así que esto entra como una simple anécdota.

Actualización: La discusión en Noticias Hacker. Si necesitan contactarme usen la forma de contacto.

Volví A Hackear iWiks fue escrito por @rafael_soto_ el día miércoles 30 de marzo de 2011 a las 5:49 p. m.

Este post fue etiquetado: hacker web social mexico articulos geek

22 años haciendo sitios web

Sabemos una o dos cosas acerca de cómo posicionar tu negocio en internet. Hablemos.

Comentarios

#1 citosid (30/3/2011 @ 6:08 p. m.)

Me uno a tus comentarios. Soy un desarrollador web también de méxico y es absurdo que se lance una plataforma con seguridad y con desarrollo tan mediocre… luego nos enojamos por comentarios como los del mentado carro deportivo mexicano. Si ni nosotros nos respetamos es obvio que la gente de otras partes del mundo no nos respetaran.

Por lo pronto entre a iwiks y ya decidieron por usar algo más estable:
(iwiksbeta.ning.com)

Si podemos comprarlo… ¿¡para qué programarlo!?

Saludos!

#2 John (30/3/2011 @ 6:10 p. m.)

Fool me once…

#3 Marcos (31/3/2011 @ 9:08 a. m.)

Que onda, si al igual que tu yo la primera vez que salio iwiks “hacke”… bueno meti unos scripts remotos y bueno bla bla y vi tu desmadre en vivo te acuerdas? ahora ni me entere shiales… a ver si para el beta 3 me avisas no? es que guey eso de que te me adelantes no esta shido! y la emocion y el suspenso????!!!!

a eso si, si pablo no habria hecho lo que acotumbra: hacer aun lado a gente como tu y como yo con experiencia esto no habria pasado,

PABLO, AMAURY preguntar y pedir apoyo real no le quita valor o merito a lo que hacemos!!!.

Fael mandame un correito quiero platicar contigo de otros asuntos va? :D

#4 lordzero0000 (31/3/2011 @ 11:38 a. m.)

Dicen que el hombre es el único animal que tropieza dos veces en la misma piedra y estos chavos de iwiks no lo demuestran.

#5 Ricardo Morales (31/3/2011 @ 1:47 p. m.)

Te felicito por segunda vez, muy objetivo tu articulo y que pena que su equipo y Grover sean tan creidos. recordar aquellas declaraciones de esta persona en una llamada de skype en una conferencia. El Afirmaaba y juraba que estaba bien su plataforma estaria lista con muchas caracteristicas. #EPICFAIL 2 .. Mejor que instale un Joomla y le ponga un componente que lo haga y ya…

#6 todosevan (31/3/2011 @ 3:21 p. m.)

Gracias por volver a analizar iwiks; la verdad ignoro porqué estos estudiantes lanzan una red social ¿sólo porque esta hecho en México? si hay una docena de redes sociales en activo (incluso si tienes correo yahoo, obligatoriamente estas registrado en Yahoo Pulse, con hotmail en Live y con Gmail en google profiles), el grave problema que veo siempre en estos sitios, jardines vallados donde no se puede interactuar con otra red social, una más ya acrecenta este problema

#7 adr (31/3/2011 @ 11:54 p. m.)

“Se ha convertido en una red social que no acepta preguntas”

jajaja, me dio mucha risa esa parte

#8 SpaceCowboy*** (1/4/2011 @ 12:19 a. m.)

Saludos!
Quisiera hablar contigo, si se pude…
Sobre hacer una Pagina a ver si podemos sacar algo interesante…
Espero tu respuesta… =)

#9 adriannetwork (1/4/2011 @ 11:58 a. m.)

iWiks??? o iWey!!! yo pensé que ya no existía esa cosa XD…

#10 Ricardo (3/4/2011 @ 12:57 p. m.)

Que es ese sitio en ning?
Cambiaron totalmente el concepto que tenian antes. xD
Y bueno, no seran ni siquiera primera red social mexicana(es el titulo mas tonto que he visto en mi vida) , ni nadaaaaa.
Más vale hacer poco y de calidad, que morir pronto

#11 Tu mama (3/4/2011 @ 1:56 p. m.)

Si eres tan cabron, hackea facebook

#12 e.idea (3/4/2011 @ 7:21 p. m.)

Estoy de acuerdo con la mayoria de los comentarios, los que desarrollaron iwiks no tienen ni puta idea de mierda de como desarrollar codigo de calidad y como se desarrolla la arquitectura de una aplicacion de alta demanda, la seguridad no es solo codigo sino la division de la aplicacion en capas de hardware (Division de la aplicacion en capas y distribucion de las mismas en distintos servidores) y niveles de suguridad en segmentos de red, aplicacion de firewall por hardware, balanceo de carga con F5 y mil y un cosas mas. Lastima por que en mexico hay buenos desarrolladores y por eso la mayoria decidimos por el extranjero.

#13 Victorinox (4/4/2011 @ 5:31 p. m.)

[nada que ver aquí, exceso de groserías]

#14 Khaooos (4/4/2011 @ 7:39 p. m.)

@Victorinox el diseñador y creador de facebook no tenia los miles de dolares, solo tenia inteligencia y conocimientos suficientes y mas avanzados que mchos por eso tiene la seguridad que tiene

#15 osoboboso (5/4/2011 @ 12:52 p. m.)

JAJAJAJAJAJAJAJAJAJAJAJAJA

Bien por ti terror.

La mayoria de veces, no queremos aceptar nuestros errores y lo peor de todo es que somos orgullosos.

Pero su orgullo de GROVER es demaciado que ya ni quiere dar la cara.

#16 oscararzola (5/4/2011 @ 7:26 p. m.)

Primero decir que yo no me llamo Oscar Arzola, soy otra persona que quiere guardar la identidad y a quién este tipo una vez no contrato “porque no sabía programar”.

Dicho esto, yo peinso que la gente presumida y farolona siempre es la que más carece de cosas y la que más errores comete.

Como experiencia personal vuelvo a mi caso personal. Oscar Arzola es un “programador web seniour” que desarrolla sitios de alto nivel, pero que comete errores un poco… de newbie:
(sabe2.interesse.com.mx)

Hay se los dejo como dato nada más…

#17 popsort (8/4/2011 @ 12:03 a. m.)

Esto solo demuestra dos cosas:

1.- Que existe algúnos muy necios y locos (Según la def de Einstein). Son como moscas tratando de atravezar el vidrio

2.- Para tener buen CEO jamas Segudas partes. Por muy bueno que seas.

Por cierto hace mucho tuve el mismo problema con un editor de textos enriquecido que desplegaba un space (maldíto space). Pero conoci así htmlentities, acerto contigo es simple experienza.

#18 rafael_soto_ (11/4/2011 @ 7:05 p. m.)

citosid, la de ning no es de los mismos creadores. y es una plataforma gratis, pero sí, seguramente les iría mejor si fuera así.

John, shame on me?

Marcos, jeje, sí, un poco. bueno, igual yo me enteré por un comentario y esperé a que tiraran el sitio antes de publicarlo. vaya, yo también aprendo de mis errores.

lordzer000, más bien sí lo demuestran, no? jeje

adr, les quiero presentar a htmlentities, pero no se dejan.

SpaceCowboy, ya te contesté bro.

adriannetwork, jaja, se rifaron con esa. fuiste tú?

Ricardo, más bien: más vale morir acompañado que morir solo. ellos siguen renuentes a ser ayudados. pensé que con su convocatoria harían algo… pero infiero que nadie respondió.

e.idea, sí, una verdadera lástima.

Khaooos, don’t feed the trolls.

osoboboso, ya en serio, espero que lancen su producto y sea un éxito. pero no hay rastro de que vayan por buen camino.

oscararzola, uhm.. no creo que sea necesario andar quemando a la raza ni de cobardemente estarte escondiendo detrás de un monitor. piénsalo bro.

popsort, para su desgracia, muchas cosas están mal. en fin. a ver en qué termina.

#19 fernando montes (12/4/2011 @ 10:33 p. m.)

los de iwiks se dieron por vencidos y decidieron instalar un paquete donde ya te viene la red social hecha (184.168.186.200)

#20 Francisco (20/5/2011 @ 8:04 a. m.)

Es increible ahora lo que hay ahi es un script comprado, que para colmo carga todos las apartados del menu en Ingles. Que descaro, red social mexicana. Lo que yo no entiendo es como sigue teniendo publicidad que desperdicio de conexiones. Nada como tener un buen padrino: (blogs.eluniversal.com.mx)

#21 Karlosss (20/5/2011 @ 5:03 p. m.)

JAJAJA Ahora están con BoonEx, a ver si te puedes dar otra vuelta, seguro encuentras nuevas vulnerabilidades!!!

#22 Denis (17/7/2011 @ 10:52 a. m.)

Yo ando en algo parecido. Pero es un Socialgame…
Recien formando la idea, desde 0, pasé de los PNG de Photoshop a programar de 0. Voy por el register, logeo y demás…

Es un trabajo duro…, si pudiera pondria un paquete.
Pero se que no tiene sentido… no hay nada de nuevo.

Lamentablemente tuve mala experiencia con otras webs anteriores con respecto al SEO y la publicidad.

Cuando termine la beta al 1.0, te aviso y me contás aver que podés hacer.

Saludos desde Argentina!
Hablaremos pronto para ver que tanto puedes.

#23 Daniel (21/9/2011 @ 6:51 p. m.)

Bueno el chiste es d k son chafas jaja pork no entiendo ni mothers jajaja espero y gente como ustedes los apoyen pero pues les cierran la oportunidad.
Saludos.

#24 Sflakk (6/4/2012 @ 11:47 p. m.)

Checa viduscrip puede te parezca interesante y te animes a encontrarle alguna brecha de seguridad, desde mi punto de vista va por buen camino, que falta un boom mas fuerte tipo iwiks para ganar usuarios claro, pero comparado con esa madre creo que esta si fue mas al estilo tirando code y tiene mas chance de crecimiento, pero como dije mi opinión, bueno ojalá la chequen y le den su chance yo me arriesgo y digo ¿Por que no? Iwiks fue y sigue siendo una ……… Pero no por ello hay que generalizar :) sale banda.

Agrega tu comentario

Nota: Comentarios deshabilitados temporalmente, disculpen las molestias.