Pues bien, la página en cuestión es http://lro.jhuapl.edu/NameToMoon/index.php. En ella un simple formulario con "nombre" y "apellidos" nos deja bien fácil entrar en ese microchip donde se imprimirán todos los nombres recibidos hasta el 27 de junio.
Todo va normal hasta que veo que al dar al botón de enviar, veo rápidamente una pantalla blanca con un texto, que redirige después a la típica de "Felicidades, has enviado correctamente el nombre".
Tras repetir el proceso y detener al navegador veo que pone:
INSERT INTO NamesToMoon (firstName, lastName, submitDate, status) VALUES ('Alex','Dantart', '2008-05-05 04:06:09', 'Y')
Simplemente es la impresión de la cadena SQL que ingresa en la base de datos de "Nombres a la Luna" los datos que ha puesto el usuario. No es ningún fallo de seguridad puesto que es una aplicación sencilla pero no deja de sorprender que queda un poco chapucero para ser la NASA quien ha realizado esta página.
Supongo que lo ha hecho algún programador en prácticas, porque es muy sencilla y no conlleva riesgo con ninguna otra base de datos de la NASA, pero bueno, lo dicho, que no veía yo este "fallo" de imagen desde hace muchos años.
Aun así, y volviendo al tema científico, os invito a poner vuestro nombre en la Luna. Yo ya he ingresado el mío y el de mi novia :)
¿Imprimir por pantalla el nombre de la tabla y de los campos de la BBDD no te parece un fallo de seguridad?
¡Pero si hasta te da el ID que acaba de usar para insertarte!
Untitled Document
INSERT INTO NamesToMoon (firstName, lastName, submitDate, status) VALUES (”, ”, ‘2008-05-05 05:33:04’, ‘Y’)
function auto() {
5 de mayo de 2008document.transferVarForm.submit();
}
Il venturetto… no, no me parece fallo de seguridad por varias razones:
1) No hay “aparentemente” ningún agujero en la programación para realizar SQL Injection, con lo que saber la tabla o el ID, no importa mucho
2) En el host (por lo que he podido ver) no se alojan webs especiales de la NASA, con otras bases de datos
3) El mysql (obviamente) de esa máquina no acepta conexiones salientes
No se, por todo ello, lo veo más (en este caso) un fallo de “chapucero” o de “despistado” (que todos hemos usado “echos” para las SQL al programar) que de seguridad…
Por lo que veo y he dicho, parece más bien una web de uno en prácticas que hace su primera aplicación de base de datos “importante”, jejeje ;)
5 de mayo de 2008Bueno, lo de corroborar si hay SQL Injection o no es tan sencillo como probar a poner en el nombre algo como ” ‘, ”, ‘2008-05-05 05:33:04’, ‘Y’); DROP TABLE NamesToMoon; INSERT INTO NamesToMoon (firstName, lastName, submitDate, status) VALUES (‘ “.
Si el tío saca el SQL de la inserción por pantalla no creo que se haya molestado en prevenir un SQL Injection. En cualquier caso, no es ningún ejemplo de buenas prácticas.
5 de mayo de 2008Il Venturetto, estoy de acuerdo contigo de que no son buenas prácticas, y es más, si lo he publicado es porque no es un “pepito” quien lo ha hecho, sino la NASA es la que hay detrás.
Lo del injection que comentas es lo primero que probé ;) y no dio resultado. Aun así, ESPERO que, aunque el programador de la NASA que hizo esto no sea muy ducho en PHP/MySQL, el administrador de la máquina habrá puesto un mod_security al apache y un PHP con “safe mode” activado y “register globals” desactivado, cosas muy básicas de seguridad…
De ahí que deduzco todavía que más que un fallo de seguridad sea un despiste “sin importancia” más allá de que viene de la NASA ;)
5 de mayo de 2008Si te digo la verdad, no lo he probado porque me daba miedo que funcionara y mandara a tomar por saco los datos de 500.000 infelices.
Entiendo que pongan al becario a hacer estas cosas, ¡pero cómo es posible que no haya nadie que lo revise!
5 de mayo de 2008Hombre, yo el injection que pruebo siempre es un “show tables” o algo así por no joder la cosa :D
Lo del becario lo entiendo, es una web “tonta” que sólo sirve para dar publicidad a la NASA y que vea el mundo que hacen cosas y tal, aunque yo no soy de esa opinión pues el trabajo que está haciendo ahora mismo con la ISS, el Hubble, el Chandra, Mercurio o Marte son impresionantes…
Pero bueno, supongo que este “invento” de enviar tu firma a la Luna es simplemente una mera campaña de publicidad, que ha recaído, como bien hemos deducido, en un becario :D
Espero que la base de datos de (por ejemplo) satélites, coordenadas y estado, no recaiga en la misma persona :P
5 de mayo de 2008¿Como paras el navegador para ver eso?
5 de mayo de 2008Moran, rápidamente con la tecla “ESC” paras la carga de la siguiente página, y como hay un pequeño lapso de esa página hacia la siguiente se puede parar ;)
5 de mayo de 2008Aupa Alex, temía preguntar x miedo a sonar en plan
“Hola queria saver como jakear con SQL inyection mi mail es jack22@hotmail manden respuesta please grasias de antebraso”.
Eskerrik asko,
Moran
6 de mayo de 2008jejejeje ;)
6 de mayo de 2008¿Has probado generar el PDF del certificado para un nombre con caracteres fuera del ASCII? Se le va el UTF-8 a la Luna…
6 de mayo de 2008esto me parece una bobada, y un gasto de tinta, porque en realdidad no envian tu nombre porque los usuarios se piensan que si, pero es que no. ustedes los informáticos especialistas nos engañan, ¿quien os creeis que soys para timar a los más desfavorecidos, a que voy y os rebiento la cara a todos ,!IMPOSTORES¡
8 de mayo de 2008EL DIA DE MAÑANA NOS NECESITAREIS A NOSOTROS, SOIS UNOS FRIKIS Y MENTIROSILLOS DEL COPÓN. OSEA TOTALMENTE FREEK. xao
Nacido en tenerife en 1955
9 de mayo de 2008esta padre el proyecto
11 de mayo de 2008quiero ir a la luna
12 de mayo de 2008Sea verdad o mentira parece un buen proyecto……!!!
De todos modos yo lo hice e imprime mi “certificado” pero no lo baje en versión PDF por seguridad…….!!!
Solo impriman……….!!!
Saludos…..LZC-MICH-MEX……..!!!!
13 de mayo de 2008Hola!!
La verdad es que, sea verdad o no, que la NASA mande nuestros nombres a la luna (digo nuestros, por que yo puse el mio).
Es lindo pensar que esto puede suceder no?
en cuanto a la idea de que sea ó no una trampa, o una mala broma, considero que lo ideal es no quitarle la magia al proyecto, despues de todo, este mundo nesecita de personas como nosotros que creamos que “mandar nuestro nombre a la luna” es posible.
un saludo a todos
13 de mayo de 2008CHAO….
que padre que esto sea posible, ya puse mi nombre
16 de mayo de 2008Es una gran oportunidad gracias por permitirme enviar mi nombre
23 de mayo de 2008a la luna.
Muchas gracias por la información, me perdí de hacerlo en la Phoenix para Marte pero esta la agarré justito gracias a vos.
24 de junio de 2008Por cierto, ya arreglaron la confirmación, creo, me salió una ventana de gracias y después el certificado.
Saludos.
VISITE LA ESTACION EN HOUSTON TX Y FUE UNA EXPERIENCIA INNOLVIDABLE
4 de abril de 2011