(In)Seguridad 100cia Blogs e Internet

Envía tu nombre a la Luna, por un programador junior de la NASA

¿Te gusta el artículo? ¡Valóralo!

4.9 media basada en 11445 votos

  • Excelente
    5449
  • Muy bueno
    3270
  • Normal
    1635
  • Regular
    818
  • Malete
    273
He visto en el 20minutos que la NASA ha invitado a personas de todas las edades a participar en el próximo programa hacia la Luna. Se trata del envío de un satélite artificial, el LRU, que viajará a la Luna con una base de datos de todos los internautas que así lo soliciten.

Pues bien, la página en cuestión es http://lro.jhuapl.edu/NameToMoon/index.php. En ella un simple formulario con “nombre” y “apellidos” nos deja bien fácil entrar en ese microchip donde se imprimirán todos los nombres recibidos hasta el 27 de junio.

Todo va normal hasta que veo que al dar al botón de enviar, veo rápidamente una pantalla blanca con un texto, que redirige después a la típica de “Felicidades, has enviado correctamente el nombre”.

Tras repetir el proceso y detener al navegador veo que pone:

INSERT INTO NamesToMoon (firstName, lastName, submitDate, status) VALUES (‘Alex’,’Dantart’, ‘2008-05-05 04:06:09’, ‘Y’)

Simplemente es la impresión de la cadena SQL que ingresa en la base de datos de “Nombres a la Luna” los datos que ha puesto el usuario. No es ningún fallo de seguridad puesto que es una aplicación sencilla pero no deja de sorprender que queda un poco chapucero para ser la NASA quien ha realizado esta página.

Supongo que lo ha hecho algún programador en prácticas, porque es muy sencilla y no conlleva riesgo con ninguna otra base de datos de la NASA, pero bueno, lo dicho, que no veía yo este “fallo” de imagen desde hace muchos años.

Aun así, y volviendo al tema científico, os invito a poner vuestro nombre en la Luna. Yo ya he ingresado el mío y el de mi novia :)

Alex

Ciudadano del mundo. Me encanta llevarme mi cámara fotográfica para inmortalizar esencias y experiencias en lugares diferentes, donde la gente vive diferente, pero donde todos disfrutamos cada día de puestas de un mismo Sol.

Vistos recientemente...

Observatorio cumple 20 años traduciendo imagenes de la NASA día a día

El rostro del viaje de McCurry

Los juegos no son un juego… but business!

Memozzle, un gimmasio para las neuronas

Memozzle supera las 50.000 descargas en menos de 3 meses

24 Comments

  1. Il Venturetto

    ¿Imprimir por pantalla el nombre de la tabla y de los campos de la BBDD no te parece un fallo de seguridad?

    ¡Pero si hasta te da el ID que acaba de usar para insertarte!

    Untitled Document

    INSERT INTO NamesToMoon (firstName, lastName, submitDate, status) VALUES (”, ”, ‘2008-05-05 05:33:04’, ‘Y’)

    function auto() {
    document.transferVarForm.submit();
    }

    5 de mayo de 2008
  2. Alex

    Il venturetto… no, no me parece fallo de seguridad por varias razones:

    1) No hay “aparentemente” ningún agujero en la programación para realizar SQL Injection, con lo que saber la tabla o el ID, no importa mucho

    2) En el host (por lo que he podido ver) no se alojan webs especiales de la NASA, con otras bases de datos

    3) El mysql (obviamente) de esa máquina no acepta conexiones salientes

    No se, por todo ello, lo veo más (en este caso) un fallo de “chapucero” o de “despistado” (que todos hemos usado “echos” para las SQL al programar) que de seguridad…

    Por lo que veo y he dicho, parece más bien una web de uno en prácticas que hace su primera aplicación de base de datos “importante”, jejeje ;)

    5 de mayo de 2008
  3. Il Venturetto

    Bueno, lo de corroborar si hay SQL Injection o no es tan sencillo como probar a poner en el nombre algo como ” ‘, ”, ‘2008-05-05 05:33:04’, ‘Y’); DROP TABLE NamesToMoon; INSERT INTO NamesToMoon (firstName, lastName, submitDate, status) VALUES (‘ “.

    Si el tío saca el SQL de la inserción por pantalla no creo que se haya molestado en prevenir un SQL Injection. En cualquier caso, no es ningún ejemplo de buenas prácticas.

    5 de mayo de 2008
  4. Alex

    Il Venturetto, estoy de acuerdo contigo de que no son buenas prácticas, y es más, si lo he publicado es porque no es un “pepito” quien lo ha hecho, sino la NASA es la que hay detrás.

    Lo del injection que comentas es lo primero que probé ;) y no dio resultado. Aun así, ESPERO que, aunque el programador de la NASA que hizo esto no sea muy ducho en PHP/MySQL, el administrador de la máquina habrá puesto un mod_security al apache y un PHP con “safe mode” activado y “register globals” desactivado, cosas muy básicas de seguridad…

    De ahí que deduzco todavía que más que un fallo de seguridad sea un despiste “sin importancia” más allá de que viene de la NASA ;)

    5 de mayo de 2008
  5. Il Venturetto

    Si te digo la verdad, no lo he probado porque me daba miedo que funcionara y mandara a tomar por saco los datos de 500.000 infelices.

    Entiendo que pongan al becario a hacer estas cosas, ¡pero cómo es posible que no haya nadie que lo revise!

    5 de mayo de 2008
  6. Alex

    Hombre, yo el injection que pruebo siempre es un “show tables” o algo así por no joder la cosa :D

    Lo del becario lo entiendo, es una web “tonta” que sólo sirve para dar publicidad a la NASA y que vea el mundo que hacen cosas y tal, aunque yo no soy de esa opinión pues el trabajo que está haciendo ahora mismo con la ISS, el Hubble, el Chandra, Mercurio o Marte son impresionantes…

    Pero bueno, supongo que este “invento” de enviar tu firma a la Luna es simplemente una mera campaña de publicidad, que ha recaído, como bien hemos deducido, en un becario :D

    Espero que la base de datos de (por ejemplo) satélites, coordenadas y estado, no recaiga en la misma persona :P

    5 de mayo de 2008
  7. Moran

    ¿Como paras el navegador para ver eso?

    5 de mayo de 2008
  8. Alex

    Moran, rápidamente con la tecla “ESC” paras la carga de la siguiente página, y como hay un pequeño lapso de esa página hacia la siguiente se puede parar ;)

    5 de mayo de 2008
  9. Moran

    Aupa Alex, temía preguntar x miedo a sonar en plan
    “Hola queria saver como jakear con SQL inyection mi mail es jack22@hotmail manden respuesta please grasias de antebraso”.

    Eskerrik asko,

    Moran

    6 de mayo de 2008
  10. Alex

    jejejeje ;)

    6 de mayo de 2008
  11. Guille

    ¿Has probado generar el PDF del certificado para un nombre con caracteres fuera del ASCII? Se le va el UTF-8 a la Luna…

    6 de mayo de 2008
  12. Rosa y Andrea

    esto me parece una bobada, y un gasto de tinta, porque en realdidad no envian tu nombre porque los usuarios se piensan que si, pero es que no. ustedes los informáticos especialistas nos engañan, ¿quien os creeis que soys para timar a los más desfavorecidos, a que voy y os rebiento la cara a todos ,!IMPOSTORES¡
    EL DIA DE MAÑANA NOS NECESITAREIS A NOSOTROS, SOIS UNOS FRIKIS Y MENTIROSILLOS DEL COPÓN. OSEA TOTALMENTE FREEK. xao

    8 de mayo de 2008
  13. Alvaro Pérez Frías

    Nacido en tenerife en 1955

    9 de mayo de 2008
  14. victor manuel flores ramires

    esta padre el proyecto

    11 de mayo de 2008
  15. daki

    quiero ir a la luna

    12 de mayo de 2008
  16. Pakoelrudo

    Sea verdad o mentira parece un buen proyecto……!!!
    De todos modos yo lo hice e imprime mi “certificado” pero no lo baje en versión PDF por seguridad…….!!!
    Solo impriman……….!!!

    Saludos…..LZC-MICH-MEX……..!!!!

    13 de mayo de 2008
  17. Erinne

    Hola!!

    La verdad es que, sea verdad o no, que la NASA mande nuestros nombres a la luna (digo nuestros, por que yo puse el mio).
    Es lindo pensar que esto puede suceder no?
    en cuanto a la idea de que sea ó no una trampa, o una mala broma, considero que lo ideal es no quitarle la magia al proyecto, despues de todo, este mundo nesecita de personas como nosotros que creamos que “mandar nuestro nombre a la luna” es posible.

    un saludo a todos
    CHAO….

    13 de mayo de 2008
  18. MARCELO

    que padre que esto sea posible, ya puse mi nombre

    16 de mayo de 2008
  19. Roberto Xavier Hernández Llano

    Es una gran oportunidad gracias por permitirme enviar mi nombre
    a la luna.

    23 de mayo de 2008
  20. Griever

    Muchas gracias por la información, me perdí de hacerlo en la Phoenix para Marte pero esta la agarré justito gracias a vos.
    Por cierto, ya arreglaron la confirmación, creo, me salió una ventana de gracias y después el certificado.
    Saludos.

    24 de junio de 2008
  21. LUPITA RODRIGUEZ

    VISITE LA ESTACION EN HOUSTON TX Y FUE UNA EXPERIENCIA INNOLVIDABLE

    4 de abril de 2011