VIE 21 ENE 2011

Cómo Hackeé iWiks En 10 Minutos El Día De Lanzamiento

Actualización: Yo no tiré el sitio. Sólo accesé a una cuenta. Ofrezco servicios de consultoría de seguridad. Si tuviera algo qué esconder, no lo publicaría en mi blog. Síganme en twitter @faelazo y contáctenme para dar una conferencia si están interesados en temas de seguridad, Internet y marketing.

Al parecer el hecho de ser mexicano te hace popular. Me he encontrado mucho de ese tipo de genios que se les ocurre una brillante idea: un [sitio popular], pero mexicano. Como si la nacionalidad fuera una ventaja competitiva. En algunos casos lo es, pero resulta muy difícil convencer a la gente de esto.
Pero así como tú, sabio lector, tanto como yo, sabíamos que un día esto iba a llegar. Un grupo de chavos de Tijuana crearon una red social que se llama iwiks y han logrado hacer un buen trabajo levantando el hype y diciendo que va a ser toda una revolución.

Desgraciadamente, la mejor calificación que le podría dar al proyecto es amateur motivado. Muchas cosas están hechas mal, aunque de alguna forma sacaron el proyecto. Pero no les durará mucho así. En este post explicaré paso por paso cómo hackear la red social. A ver hasta dónde llegamos.

Después del registro y una simple prueba, veo que el sitio es propenso a Cross Site Scripting. Tienen algunos filtros de HTML (o eso parece), pero son fácilmente sorteables:

<script>alert('therror.com rocks');//</scr</script>ipt>

Esto tiene un potencial casi infinito, pero no encuentro cómo agregar amigos, y si no hay otros usuarios, me voy a terminar hackeando yo solo. Y eso no es divertido. Así que hay que encontrar otra forma. Examinando un poco, mi imagen de perfil se ve un poco distorsionada y además es pesada. Las de los status también. Podría ser que están convirtiéndola a BMP y redimensionándolas tipo pixel-perfect. O simplemente las están redimensionando con HTML. Le doy click derecho, ver imagen y es cierto. Mi imagen está tal y como la subí.

Anteriormente descubrí que están utilizando CakePHP. Más adelante vamos a explotar esto. Por lo pronto, vamos a ver si podemos accesar al listado del directorio dejando la URL así: http://www.iwiks.com/files/ lo que nos redirige a http://www.iwiks.com/app/webroot/files y con este, el listado.

Cada una de las carpetas es el ID del usuario, dentro de estas hay las fotos que han cargado. Puedo controlar mi privacidad en iwiks? Seguro que sí. Hasta abajo hay algunos archivos incluídas las fotos de algunos de los fundadores.. o algo así. Ahora, no conozco a Pablo, que es a quien vi en el primer video que encontré, pero con ordenar por fecha encuentro el identificador de Quetzi (4d3012a0-9880-4974-b402-1370580d0480) con una foto de su perfil adentro. Seguro debe ser administradora.

No quiero ocasionar demasiados problemas, así que omitiré lo que hice aquí. Pero si saben un poco de cómo funciona CakePHP, podrán hacerlo. Teniendo el ID de Quetzi, resulta sencillo registrarse como ella.

Y mandarle un mensaje a Pablo.

La verdad fueron sólo algunos minutos los que tardé en hacer esto. No encontré un panel de administración en mis primeros intentos, probablemente no lo tengan. Desconozco si el resto de la aplicación tenga vulnerabilidades, pero no lo dudo. Me parece increíble que la gente innove, realmente hacer una red social es mucho trabajo, pero si aspiran a sobrevivir deben entregar un producto de mucha más calidad. Seth Godin menciona la regla de las 10 veces. Si quieren competir contra twitter o Facebook, iwiks debe ser por lo menos 10 veces mejor; no 10 veces más mexicano.

Si necesitan consultoría, estoy disponible e interesado. Aunque creo que no la aceptarían. En las entrevistas que he visto se ven muy seguros y orgullosos de su trabajo. No sé si reír o llorar al ver que tardaron 2 años en hacer esto y se les cayó en poco más de 12 horas. Si no probaron exhaustivamente su aplicación para las fallas más comunes, cómo esperaban sobrevivir?
Sólo una nota más: minimalista no tiene nada que ver con feo. El rato que la pude ver, el diseño era horrible, de simplista tenía mucho, de minimalista, nada; básicamente hay 3 timelines que no se distinguen las diferencias.

En fin, además de aumentar la seguridad, deberían dejar de experimentar con el home, contratar a un diseñador, mejorar el código HTML, implementar AJAX, comprimir las imagenes y enfocarse mucho a la experiencia de usuario.
Nadie triunfa por ser mexicano, o gringo o francés. Triunfan por chingones.

Cómo Hackeé iWiks En 10 Minutos El Día De Lanzamiento fue escrito por fael el día Viernes 21 de Enero de 2011 a las 3:47 pm.

Este post fue etiquetado: hacker, web, social, mexico, articulos.

Comentarios

Hay 176 comentarios, se están mostrando del #151 al #176.
#151 Anonimo (14/03/2011 @ 05:29am)

Aparentemente despues cambiaran el CMS por otro programado por otra persona o empresa dedicada a eso... ¬¬

#152 alfredo (15/03/2011 @ 08:35pm)

el CMS tienen un cierto nivel de seguridad incorporado, es solo saberlo reforzar y mas importante ser un pro en su uso.

#153 chacalo (16/03/2011 @ 07:51pm)

Hola muy interesante tu articulo, me gustaria que conocieras algo, se llama monsvick al parecer es una red social en fase de desarrollo aun pero esta dos tres echale un ojo es mexicana (No tiene relevancia jaja) pero checala y pss si le ves futuro creo que deberias ayudarla a crecer aunque aun esta muy pobre en usuarios pero pues por algo se empieza jeje unete

#154 Kristian (22/03/2011 @ 02:39pm)

Excelente articulo!

Este es exactamente el tipo de criticas que necesitamos, con hechos no con estupideces.

Te felicito y espero que sigas asi.

#155 hkr (22/03/2011 @ 07:57pm)

iWiks y el hablador de CEO una vez mas deja en ridiculo a mexico... jodansee pinches novatos con vagas aspiraciones de ser zukerberg´s mexicanos ((el dinero no llega así nadamás))

#156 xochicalco (25/03/2011 @ 10:49pm)

no me gustan ese tipo de comentarios coo el de HKR para empesar todo esto surgio de una idea como proposito de un trabaja lo aintension jamas es y jamas ha sido ganar dinero y tener popularidad es solo tratar de revolucionar
conosco muy de cerca al creador de esta pagina IWIKS que estudio en univesidad xochicalco en tijuana y tiene propositos muii buenos es una paginas BETA va a ener sus modificaciones y cuando tu HKR crees una paginao intentes revolucionar veras lo que te cargara ensima

#157 fernando montes (28/03/2011 @ 06:46pm)

al parecer la pagina de iwiks ya esta activa, pero aun no dan la url ya entre y no hay gran cambio, enkontre la url en un perfil de facebook de juanpablo grover fans, no se si sea la pagina definitiva ke mostraran al publico pero chekala.

(184.168.186.200)

#158 Luis (29/03/2011 @ 07:43pm)

Eres un crak maestro deverias hacer tutoriales pero no sobres esto ,porque luego piensan que todo lo haces para mal ,sino para aprender a pregramar y mas despues algo mas singular a esto

#159 fake messiah (13/04/2011 @ 02:03am)

mejor imposible bien hecho, Nadie triunfa por ser mexicano, o gringo o francés. Triunfan por chingones.

#160 Chamer (19/04/2011 @ 07:15pm)

Esta muy bien que nos informes de estas fallas de la nueva red social, ya que nosotros seremos las personas que utilizaremos este servicio.......lo que está muy mal de tu blog es que taches de MALO a lo producido en México, no sé qué nacionalidad tienes y no me interesa, si eres Mexicano...No estás cansado de que no “nos quiten el sobrero” empezando por nosotros mismos? y ese pésimo comentario ” iwiks debe ser por lo menos 10 veces mejor; no 10 veces más mexicano.” .con todos tus conocimientos puedes hacer una red social mejor..entonces HAZLA FELICIDADES A LOS CREADORES DE IWIKS y estos comentarios canalizenlos a lo productivo

#161 thalía (29/04/2011 @ 10:57pm)

Pienso que esto de las redes sociales es una simple moda tal y como pasó con lo de los emos se acuerdan?¿, y no digo que lo que estos chavos hicieron sea un mal intento de facebook, pero creo que los mexicanos tenemos todos los recursos para hacer cosas mas chingonas (perdon por eso) y creo que deberian dirigir su lógica de programación a otro sector que a fin de cuentas no deja nada pero aaa como quita el tiempo...

#162 Tlmo Cesar (01/06/2011 @ 09:31am)

hola pues la neta me da gusto que mexicanos hagan redes sociales pues la neta yo soy programador y se lo que es ese tipo de seguridad es complicado explicar.

saludos y buen articulo

#163 Angel (12/06/2011 @ 06:17pm)

La nueva pagina de iWiks esta en: (iwiks.politiclink.com)..

Haber “faelazo” si eres tan bueno como te dices, hackeala, o bueno, minimo encuentrale algun bug !

#164 alejandro Salvador (13/06/2011 @ 10:10pm)

No creo que pueda hackear al parecer se asosiaciaron con otra compañia u otra red social, inclusive se nota desde su direccion de pagina...

#165 david (21/06/2011 @ 09:37am)

buen dia, me intereso tu comentario aun ke veo ke hace tiempo ke no se actualiza esta paguina, espero y puedas leer esto. yo estoy armando un equipo para un proyecto nuevo ke saldra muy pronto en tijuana, de echo ya estan trabajando en el, ojala y podamos ponernos en contacto. te dejo mi cel. 664 190 4279 David

#166 Psichored. (01/08/2011 @ 11:57am)

La verdad de las cosas, es, que la envidia hace que el ser humano cometa toda clse de conducta antisocial, porque no dejar que los chavos intenten formar su red social, y si tu ya sabes como hackearla pues que más da, o te perjudica en rus intereses el hecho de que se cree la red social, o más aun lo haces por conducta Psociopata o Psicopata?, dedica y ofrece tu conocimiento a construir no a destruir, ni a queres dejar en ricdiculo a las personas, eso no te hace grande te hace un ser que da muestra de su frustración, ahra bien con respecto a ser mexicano no le veo nada de malo, tu de que nacionalidad eres?, y que tiene de especial, bueno en fin no creo que te interese lo que escribo por eso no lo leiste jejeje, si llegaste acá es porque se lo que piensas, conozco la mente y el pensamiento de los demás, y afortunadamente tu forma de pensar es como el de la minoria, disfrazas tu maldad oreciendolo como talento, eso no es talento, eso es destrucción, tu eres un ser sin valor aunque algunos pocos digan lo contrario, se que te duele el estomago y sientes nauseas, porque tu estas desprendido de la realidad, Psicotico, jajajajajajajaja, me causaste risa.

#167 guss (01/08/2011 @ 10:34pm)

me interesaria construir una red social contigo, asi de simple te lo digo

#168 Luis (15/08/2011 @ 10:46am)

Me uno a guss yo estoy interesado contactame svengel@hotmail.com

#169 Anonymo (02/09/2011 @ 12:02pm)

Hola soy de españa podrias enseñarme a hackear el servidor de mi instituto usa Apache 2.2.3 como SO y también tiene PHP 5.2.0-8+etch16 Server la ip creo que es 10.227.227.96 mayormente lo quiero hacer pa dar por culo y para reirme un rato bajando unas fotos de profesores retocandolas con photoshop y volverlas a subir te dejo este e-mail de contacto por si kieres mas informacion como el nombre de la web: mjxg1@hotmail.es

#170 alex (28/10/2011 @ 08:11am)

jajaajja como no pego la red social acudieron a ning (www.ning.com) ellos ya te ofrecen redes sociales hechas solo cop&paste con tus diseños jajaja

#171 Error (14/11/2011 @ 02:01am)

Sigue siendo una mierda xD

#172 cripto (29/01/2012 @ 09:17pm)
#173 Edgar (15/02/2012 @ 09:13pm)

Felicidades tomare en cuanta tu ofrecimineto y asesorias con sus respectivos honorarios si lo requiero, pero si te recmiendo cuando puedo, y ahora con eso de la pipa y la sopa necesitamos buenos servidores mexicanos y regirnos bajo nuestras leyes pero como dices ser chingones, no babosos que no hacen que avancemos entre las vanidades del mexicanopromedio seguir a las elecciones de los del gobierno para ver si dan hueso, y la hueva de estudiar buscandolemas a inventar historias de chingones no salimos
en hora buenos seguire visitando tu block
mexicanos huevones y fanfarrones en lugar de estar adorando a los de pistolita en cintura
ponerse a estudiar y preparar para los retos de un futuro que nos esta rebasando
Noticieros de television solo pasan poruqerias deberian pasar temas como estos

#174 Ricardo (02/03/2012 @ 12:15am)

mensos, xD ps ya, se hackeo y ya... si fuiste tu o otro ke mas da, no veo el por ke de el ardimiento de Psichored, no seas ardido, te recomiendo tomar clases de respiracion y aguantaras mas tu ira destructiva. suerte!

#175 Fernando Valencia (10/12/2012 @ 12:28pm)

Al parecer tienes conocimientos autodidactas, te has dedicado a meterte aquí y haya por tu cuenta, no se si seas un profesionista estudiado, no lo creo, por que entonces tu critica seria algo así, IWIKS FUE JAQUEADA, PERO VAMOS A APOYARLOS PARA REFORZAR SU SEGURIDAD, INTEGRÉMONOS AL EQUIPO, VALE LA PENA QUE PYMES MEXICANAS INCURSIONEN EN ESTE SECTOR.

#176 ever (09/01/2013 @ 07:38am)

ola oye no soy alguien que sabe de hack y todo eso pero en la pagina de mi prepa ise algo parecido ingrese en un link que estaba como sin usar y de ahy me direcciono a los files y cuando inttente ingresar alos archivos me pedia un usuario y una conraseña de una pagina hosting ...
la url es sitio.cbtisreynosa.com
y pues seguramente ya sepas mi correo.
ami me gusta todo esto de la ciencias computacionales..
saludos

Agrega tu comentario

Quieres tu avatar? Ingresa con tu cuenta de twitter para comentar.