La UV es insegura

Bueno, casualmente keria ver si funcionaba el video ke acabo de postear y para caso de pruebas use la pagina de la UV.

Primero al evaluar la seguridad ke tiene la pagina, me tope con esta funcioncodigo.JPG

Yo opino que primero ke nada, si tanto nos obligan a validar todo ke ellos den el ejemplo.

Luego logre loguearme como estudiante y como catedratico. Aca les pongo los 2 screenshots.estudiante.JPG

catedratico.JPG

Esto lo realice unicamente con fines academicos y de critica ya que es para eso ke esta el blog y pues mi critica personal es ke si Pedro Pablo es quien da el curso de Seminario de Sistemas, entonces me esta kedando mal con la seguridad web.

Aca en el blog le llueve a todo el mundo, por eso soy el #1 en los blogs ponededos. 😀

Anuncios

25 comentarios »

  1. jaaaaaaaaa vivo vivo!!! hacer negocio con las notas pues jajajajaja

    comprobate si estan limitando las comillas, con eso bien podes hacer de las tuyas ñaca ñaca.

  2. UV == Universidad Virtual
    UV != Universidad del Valle

    De todos los programadores ASP que conozco, ninguno sabe lo que significa “escapear variables”. Del lado de PHP, la mayoría no lo hace… es una vergüenza.

  3. willy Said:

    ala mierda sos pero puttaaaaaaaaa . !! me llegas por webudo que meirda que los serotes nos pizen y sean mulas con esa validaciones ta bien vaYA gracias por abrirnos los ojos oralex pues y buena onda!!!!!!!!!

  4. Edwin Said:

    “mira que tiene que estar logueado”, “mira que no pueda loguearse dos veces”, “mira que si no existe en la db entonces no puede entrar”, (y otras mas) parece que eso se les olvido… LOL, Solo les hizo falta un method=”get”

    ojala no digan: “debe ser problema de .NET” (y winbugs 2000* con iis 5)…… o pensaron que “.NET lo haria por ellos…” jajajaja
    *segun netcraft.com

  5. PPHR Said:

    Bienvenidas las criticas de todos los estudiantes a los cursos que imparto, siempre y cuando esten fundamentadas bajo argumentos solidos, y con lenguaje propio de un futuro profesional egresado de la USAC.

    Respondiendo a estos post que aluden al curso que imparto. Seminario de Sistemas 1, y a UV.

    El screenshot # 1 …. ¿Que tiene de malo..? … es una simple validacion javascript del lado del cliente. ¿Hackeo la funcion… ? … umm… NO. El codigo del cliente es publico. Para todos aquellos que no sepan. Carguen cualquier pagina… y desde el explorador seleccionar “ver codigo fuente”. No es secreto de estado, lo que pasa es que no todos lo saben.

    El screenshot # 2 … ¿Error de la aplicacion? … una aplicacion puede ser muy segura… pero si el usuario final no utiliza una clave segura no es error de la aplicacion. Es error de usuario.

    El screenshot # 3: … ¿El catedratico no tiene cursos? … ¿Los elimino…? .. umm NO … identifiquemos el nombre… “Carlos Antonio Cajas Vidaurre” … Departamento de Fisica. La UV se presta para que lo usen estudiantes de otras carreras y para cursos que no son de la carrera. Lamentablemente, las otras carreras no proporcionan la informacion completa y ya no participaron en UV. El usuario esta creado, pero en ningun momento tuvo cursos asignados.

    La informacion se da completa, no unicamente resultados finales. (Talvez podrias adjuntar la secuencia de screenshot… asi como yo se los publico a los estudiantes en los documentos para evitar ambiguedades o crear dudas en el proceso). Porque es muy facil decir “hice algo, sin explicar el como”.

    El sistema no valida errores cometidos por usuarios. Por ejemplo claves faciles, claves iguales, usaurio / password, etc.

    Es un tema muy interesante la seguridad en Internet, pero lamentablemente no muchos estudiantes toman conciencia de ello. Y no ha todos les interesa, si queres poner a prueba en verdad “tus conocimientos”, te sugiero los siguientes links:

    http://www.kriptopolis.org/reto-de-hacking-en-navidad

    http://www.ethicalhacker.net/content/view/100/2/

    Ahi no se trata de “ver codigo fuente y usuario=password y pagina hackeada …. 😯 “. Ahi tendras que investigar y poner a prueba en verdad tus conocimientos y habilidades, explotanto en verdad una falla de la aplicacion o del sistema (no errores de usuarios).

    Finalmente, por si te interesa ver algo paso a paso… trivial y elemental como para crear conciencia, te invito a asistir las clases de la ultima unidad del curso de redes 2, (se presentaran videos mas actualizados).

    Saludos.

    Pedro Pablo Hernandez Ramirez
    Ingeniero en Ciencias y Sistemas
    Colegiado # 7240

  6. talishte Said:

    Es el tradicional pensamiento del usuario de winsuks, por algo les gusta la papa pelada, asp puaj

  7. Maestro Said:

    Increible como rapidito PPHR metió comentario en el tema de SQL Injection… como si fuera todo un experto en la materia… pero en este tema de la inseguridad de la UV ¡¡ni sus luces!!

    Pero les cuento ke ya corriendito fue a reparar sus muladas.. porke ya no se puede entrar como anteriormente… y hasta un su medio jscript le puso para validar los rangos de carnet.. ¡¡ KE SEGURIDAD POR DIOS!!

    Pero bueno… ojalá y nunca sean como sus catedráticos muchá… siempre hay ke ir más allá de lo ke les medio pretenden kerer enseñar… DOCUMENTENSE.. bajen todo tipo de información actualizada… y cualkier novedad ya saben… EL HOT BLOG DEL PROFE estará abierto para ke puedan darla a conocer por el bien de TODOS!!!

    porke es ID Y ENSEÑAD A TODOS… NO PISAD!!

  8. chava pensante Said:

    mira yo sere ignorante pero lo que veo en la primer imagen es una verificación de que el campo user y pass no este vacio y esa veificación se hace asi por ley pero no me dice nada mas y yo tengo mis serias dudas de que si lo que decis es cierto pues no colocaste mayor información y si decis que fue con fines academicos al menos deberias de decir mas…

  9. el ancioso Said:

    La vdd… es q no pense q fuera a suceder esto y menos en nuestra escuela.. jaja. Es gracioso ver q haya una inseguridad en la UV y q en los cursos esten pidiendo validaciones de todo tipo.

    Deberian de poner mas atencion a las cosas q hacen y poner en practica lo dis q enseñan.

    Bien Isaac!!!!.

  10. chava pensante Said:

    miren seamos criticos en esto que alguien te diga que no hagas algo que es para tu mal, es bueno o malo???? los profesores nos dicen que debemos hacer para nuestro bienestar profesional en lugar de portarse como niñitos de escuela que dicen si la maestra no lo hace porque yo lo tengo que hacer????? es ridiculo y triste ver gente que piense aun asi… si los sujetos de la uv no lo aplican lo que pregonan es problema de ellos concentremonos en lo bueno que dicen y no sigamos con la cantaleta de que lo apliquen ellos y luego nos lo digan crezcan un poco

  11. Edwin Said:

    Bueno, eso fue el 1er bug…y ¿cuantos mas no habrán? Que pasa si alguien encuentra el siguiente y saca provecho de este… y el “webmaster” ni en cuenta. Por favor, pido que se ponga más atención a esto.

    No actuemos como m$, que hace su soft. defectuoso (ese parece ser el negocio de ellos) y luego va tratando de solucionar los problemas con forme van apareciendo.

    IMHO, deberian dar el ejemplo utilizando software libre. (ya casi incluyendo Java)

  12. El Profe Said:

    @Chava Pensante: Realmente lo que hice fue injectar SQL a su pagina asp, no se si viste el video del post que publique anteriormente, pero lo que hice fue seguir lo que indica el Hacker que se grabo en ese video. Casualmente funciono ese dia, se lo comente a varios amigos mas y tambien les funciono. Ahora al parecer ya soluciono el problema pero si me molesto que la pagina de INGENIERIA EN SISTEMAS fuera la ke tiene los bugs, no la de Industrial por ejemplo. Es cierto que no debemos ponernos en el plan de ke si no lo hace el maestro no lo hago, pero estamos hablando del sitio ke nos representa a los estudiantes de sistemas. Si yo lo pude hacer, cuantos hackers reales podran?? como kedamos los estudiantes de sistemas ante estas fallas??

  13. El Profe Said:

    @PPHR: Mal safe

  14. El SilEnCiO y La OsCuRiDaD Said:

    jajaja… pura y clasica actitud de un lammer… ven por ahi como otras personas hicieron las cosas y luego las intentan repetir… y si les funciona … gritana los 4 vientos “su gran hazaña” … y con eso alimentan su ego.

  15. El Profe Said:

    @El Silencio y La Oscuridad: Bonito nick mano, lastima que pones mail falso, escribir de forma anonima es muy facil.

  16. talishte Said:

    Felicitaciones Profe creo que lo que haces es realmente para ayudar, un lamer vendría y utilizaría estos conocimientos para hacer daño, por lo contrario informas de los bugs de seguridad y realmente es un bug de principiantes el cual no debería existir en un sitio académico esto se parece a la critica muy bien realizada a las paginas de los alumnos y profesores de la Galileo creo que la idea es subir el nivel de los profesionales.
    Por cierto lamer es con una m.

  17. Visitante Said:

    Me parece que es muy bonito criticar, a todos nos gusta juzgar la paja en el ojo ajeno y no nos damos cuenta de la viga que tenemos en el propio. En lo personal, a mí Pedro Pablo, ni me va, ni me viene. Me parece que como catedrático, pues le falta experiencia y didáctica, pero eso es harina de otro costal. Con respecto a la UV, solo deberían tomar en cuenta que la mayoría de las cosas que están hechas allí, las hicieron estudiantes como ustedes, así que muchos de los errores los cometieron gente que está aprendiendo. Sería bueno que investigáramos de fondo como suceden las cosas, para no solo hablar por hablar, sino presentar todos los fundamentos, para que el lector pueda emitir su propio juicio.

    Por otra parte, creo que no existe un solo software en el mundo que no tenga algún error o que le haga falta algo para mejorarse, sino no existirían los términos como mantenimiento u optimización. Lo bueno es poder corregir, mejorar y opitimizar.

    Y para los que atacan a Microsoft y defienden tanto el código libre, ¿qué Linux no ha sacado nuevas versiones? ¿qué Java no pasó de 1.2 a J2EE? Esos son mejoras, porque existían errores, sepamos encontrar la diferencia.

    Saludos y como dicen por allí, siganse documentando, porque todo lo que aprendan en la carrera, en la calle sirve de poco o nada… lo único que aprenden en la U que sirve en la vida laboral es el AUTOAPRENDIZAJE.

  18. jmaslibre Said:

    Pues es curioso, hace poco me para el curso de teoría 2, me asigne en la la UV de la SAE/SAP, http://saesap.usac.edu.gt/dokeos/ y me dí cuenta que usan dokeos, que es software libre, en lo personal creo que siendo la USAC una universidad estatal que se mantiene con impuestos de toda la población, tendría un gran sentido que los esfuerzos que se realizan para desarrollandar y mantener la Universidad Virtual, se dieran hacia un software libre, a el cual pueda tener acceso esa población que paga los impuestos. Creo que los estudiantes que desarrollan la Universidad Virtual aprenderían más, mejorando, conociendo e implementando mejoras a software como:
    http://www.dokeos.com/
    http://www.sakaiproject.org/ [1]
    http://www.claroline.net/ u otras más.
    y así unirlos a equipos de desarrollo internacionales.

    PD.: la Universidad del valle usa Sakai[1].
    http://sakai.uvg.edu.gt/portal/site/!gateway/page/!gateway-100


    Josué M. Abarca S.
    Carné 2002-12874

  19. Maestro Said:

    mmm… interesante punto de vista jmaslibre. Me parece una muy buena idea. Vamos a consultarlo con la mara… y sacar conclusiones.

  20. Edwin Said:

    @visitante: los que usamos GNU/Linux hemos sabido encontrar la diferencia. Parece que vos no.

  21. @visitante: ¿quien te dijo que el S.L. era perfecto y sin errores? El S.L. también tiene fallos y es vulmerable, pero a diferencia de Microsoft, las nuevas versiones no siguen arrastrando bugs del 2001 o si sos lo suficientemente hombre, vos arreglas el problema y publicas el parche. Ojala, sepas encontrar la diferencia.

  22. gerson Said:

    Jovenes, en parte lo que dice visitante tiene razon, no kiero iniciar una guerra Windows/Linux, eso es cuestion de gustos y preferencias.

    Talves la mayoria aqui son carnet 2002, 2003 aprox. o sea ke entraron, ya con los cambios que han habido en sistemas (UV, COECSYS, DTT (no cuenta mucho, pero ahi esta :S)), pero antes eso, cuando no existia nada de eso, el aprendizaje y obtencion de notas era un sufrimiento, uno tenia ke buscar al aux. pa rogarle de notas, y nunca lo encontrabas, y cuando se aparecia te decia “no las tengo, no las he sacado, mañana las traigo, etc.etc.etc”. O si necesitabas material didactico, tenias ke buscarlo en el internet (bueno, ke esto todavia se sigue haciendo jaja).

    Pero a lo que voy, es que, si no existiera la UV, estariamos en lo mismo, den gracias a que hayan auxiliares y catedraticos concientes, que publican sus notas en esta aplicación, asi como tambien, se molestan en ponerles material didactico, o responderle sus mails y recibir avisos de que tal cosa esta publicado.

    No es que quiera defender el trabajo de Pedro Pablo aqui tampoco, es cierto, la UV como aplicación extranet puede que tenga sus defectos, pero asi como dice “visitante”, lo hicieron estudiantes como ustedes hace tiempo como parte de aprendizaje y tiene sus errores.

    Y algo que me intereso tambien de lo que dijo “visitante” fue eso de lo que van en la u, en la calle sirve de poco o nada, TIENE RAZON, lo que ustedes aprendan en la u, les sirve solamente como base y aprendizaje, en la calle van a encontrar un monton de cosas diferentes a lo que ustedes se acostumbran en la u, y conforme la experiencia que agarren, van a aprender cosas nuevas, o van a ver las mismas, pero desde el punto de vista laboral, que difiere del punto de vista educativo.

    Saludos!!

  23. Charles Said:

    Como dice Visitante, a mi ese 0T ni me va ni me viene, tal vez le faltara un poco de didactica en algunos temas, pero es uno de los pocos que entrega notas a tiempo, da revisiones de examen, entrega los examenes y busca el dialogo con los estudiantes… ¿pueden mensionar al menos 3 catedraticos que lo hagan igual?.

    Ya los quisiera ver yo llevando los cursos sin UV, sin el manterial de apoyo ahi publicado. Si quieren ser en verdad buenos, planteen soluciones junto a sus “criticas”… de lo contrario muy facil… asi cualquiera.

  24. El Profe Said:

    @Charles: Si, te puedo mencionar como los mejores catedraticos a Otto Rodriguez, Byron Lopez, Otto Escobar, Javier Gramajo, Pedro Tzoc, Alvaro Diaz.

    Por cierto, comparto tu opinion de que la uv es una de las mejores herramientas con las que cuenta la escuela. Por cierto, no tengo nada contra Pedro Pablo, al contrario admiro que sea de los pocos que quieren ayudar a dar clases en vacaciones. Y a lo que yo me dirigia con esta critica era que la pagina que representa a los estudiantes de sistemas fue vulnerable ante un pinche estudiante como soy yo que no se ni una papa de hackear, lo unico que hice fue seguir lo ke decia el video que postie. Cosa que me entristecio mucho ya que eso nos da una mala imagen.

  25. Profesor X (Xavier) Said:

    yo agregaria entre los buenos catedraticos a Claudia Rojas!


{ RSS feed for comments on this post} · { TrackBack URI }

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: