¿Problema de seguridad? ¿Problema de seguridad?
 

News:

CPG Release 1.6.26
Correct PHP8.2 issues with user and language managers.
Additional fixes for PHP 8.2
Correct PHP8 error with SMF 2.0 bridge.
Correct IPTC supplimental category parsing.
Download and info HERE

Main Menu

¿Problema de seguridad?

Started by KchoPrro, November 17, 2011, 01:48:16 PM

Previous topic - Next topic

0 Members and 2 Guests are viewing this topic.

KchoPrro

Hola amigos, no sé si es el mejor sitio para ponerlo pero estoy preocupado por si este correo que he recibido puede ser una vulneración de la seguridad de mi galería.

Vaya por delante que tengo la última versión instalada, Coppermine Photo Gallery 1.5.16 (stable).

Hoy he recibido un correo con apariencia de SPAM (digo "apariencia" porque viene en inglés y, como no entiendo nada, doy por hecho que es basura al no conocer el remitente.

Dice lo siguiente;

Asunto; Informe de Wood sobre fichero en una galería

En el cuerpo del mensaje, aparece el texto junto con una imagen de mi galería y también la opción de pulsar sobre un enlace si no se muestra la imagen. Os adjunto captura.

Abajo, un vínculo a mi propia galería. Debajo de éste el siguiente mensaje;

Enviado por Wood desde la IP 88.131.67.22 a las 17 de Noviembre de 2011 a las 11:58 AM (hora de la galería)

No le daba mucha más importancia pero al pasar el ratón sobre la url del enlace si la imagen no se mostraba, ví que estaba en mi galería;

Quotehttp://www.adolfoventas.es/galeria/displayreport.php?data=YToxMDp7czoyOiJzbiI7czo0OiJXb29kIjtzOjI6InNlIjtzOjE5OiJ0YWxpc3dkQGhvdG1haWwuY29tIjtzOjE6InAiO3M6NzY6Imh0dHA6Ly93d3cuYWRvbGZvdmVudGFzLmVzL2dhbGVyaWEvYWxidW1zL3VzZXJwaWNzLzEwMDAxL25vcm1hbF9DUldfNTkyMy5qcGciO3M6Mjoic3UiO3M6MTc6IllaQ1drZENCYU9ZRlZ3bVVPIjtzOjE6Im0iO3M6MzQ6IkhvIGhvLCB3aG8gd3Vsb2RhIHRodW5rIGl0LCByaWdodD8iO3M6MToiciI7czo0OToicmF6w7NuKGVzKSBwYXJhIGluZm9ybWFyOg0Kbm8gc2UgZGEgcmF6w7NuIGFsZ3VuYSI7czoxOiJjIjtOO3M6MzoiY2lkIjtiOjA7czozOiJwaWQiO2k6MzE2O3M6MToidCI7YjowO30%3D

Al pulsar sobre la imagen no se me mostraba la web porque me respondía que no tenía permiso para acceder a ella. Logueado me mostró la página, que es lo mismo que aparecía en el correo y cuya captura os adjunto.

He buscado por google el correo del fulano/a pero las entradas que me han aprecido no me parecieron sospechosas, curiosamente algunas de galerías de imágenes.

No me preocuparía mucho pero el hecho de que el archivo displayreport.php me genere ese código no me gusta mucho porque es obvio que alguien/algo ha hecho eso.

Un saludo!

KchoPrro

KchoPrro

Andá, le leche!! a que va a ser una tarjeta de visita????

KchoPrro

P'os no, no era una postal, era un informe de un usuario llamado Wood sobre la foto de mi galería en cuyo asunto se dedicó a escribir sobre el teclado a cascoporro y en el mensaje puso algo ininteligible para mí y mi traductor de google.

Al no pulsar sobre ninguna de las opciones del informe (motivos) no se indicaba nada en especial.

Anda que os habréis reído un montón conmigo hoy   :o

Como mi galería es personal, el tema de los informes no tiene mucho sentido. Los quitaré, gracias por vuestra paciencia conmigo.

KchoPrro

KchoPrro

Bien, estaba equivocado  :(. efectivamente creo que se trata de un agujero de seguridad en el método de envío de informes porque apenas he ido a comer, al volver me he encontrado 3 correos más similares, cada uno con una foto, cada uno de un usuario distinto.

Supongo que algún robot ha conseguido coger mails verdaderos para rellenar los campos el formulario con mensajes como éstos;

Why do I btoehr calling up people when I can just read this!
Caroline (bmiller@virtualconnection.biz)

Could you write about Physics so I can pass Sceicne class?
Jayden (c.krouplear@apache.dk)

This site is like a classroom, expcet I don't hate it. lol
Starly (crike@bright.net)

Ahora mismo, mientras escribía este post acaba de entrar el último que os pongo  >:(.

Sería muy interesante que estos formularios de informes junto con los de las postales, llevaran un código Captcha para evitar este uso masivo.  >:(

Quería verlo más tranquilamente al llegar a casa pero no perderé ni un segundo más, veré si es posible evitar el uso de informes para los usuarios no registrados.

Un saludo

KchoPrro

KchoPrro

Vaya!, acaba de entrar otro  >:( >:(, estoy revisando la configuración de mi CPG pero lo único que veo en los permisos es el envío de postales (lo quito por si acaso), pero no aparece nada sobre si un usuario puede enviar o no un informe, ¿cómo puedo evitar que los usuarios usen el envío de informe al administrador?

KchoPrro

KchoPrro

Quote from: KchoPrro on November 17, 2011, 04:51:56 PM
Vaya!, acaba de entrar otro  >:( >:(, estoy revisando la configuración de mi CPG pero lo único que veo en los permisos es el envío de postales (lo quito por si acaso), pero no aparece nada sobre si un usuario puede enviar o no un informe, ¿cómo puedo evitar que los usuarios usen el envío de informe al administrador?

KchoPrro

Vale, me respondo yo mismo, parece que deshabilitando el uso de postales para los grupos (en este caso, registrados e invitados), tampoco se permite el uso de envío de informes al administrador. Es decir, que ambas cosas se activan o desactivan juntas.

Una pena porque el uso de postales me parecía una opción interesante pero sin el captcha.....tarde o temprano volveríamos a lo mismo  :-\

Miraré a ver si hay algún plugin o modificación que pueda corregir esto.

Un saludo!

KchoPrro

KchoPrro

He estado buscando en el foro inglés cualquier cosa relacionado con alguna modificación o plugin. He visto algunos usuarios con el mismo problema pero no han tenido respuesta, no hay plugin para la versión 1.5x así como sí que la había para la 1.4x.



En fin, creo que esto es lo que tenemos, es una pena pero prefiero quitar del menú las eCards y los informes al administrador  :-[

Desisto hasta ver si alguien ve la luz en esto.

Un saludo!

KchoPrro