C&P: El tuenti es entretenido, tanto que me he puesto a cotillear y no he parado, sin embargo, ha llegado un momento, que para continuar mi cotilleo, me hubiese sido útil poder ver la lista de amigos de alguien que no es mi amigo, sin embargo, en teoría eso no se puede… Lo interesante, es que si en
www.tuenti.com/#m=amigos&uid=X en lugar del número uid de nuestro amigo, ponemos cualquier otro, podemos ver también la lista de sus amigos.
No es un agujero de seguridad en tuenti. Tuenti es un agujero en la seguridad.
Si dices que tiene más fallos de este tipo, es hora de que contraten a profesionales en sus desarrollos.
1. No se puede ver en tuenti la lista de amigos de un desconocido
2. El bug permite ver la lista de amigos de un desconocido en tuenti, sabiendo su id
3. El id de un perfil de tuenti no es secreto, es muy fácil conseguirlo
4. en el artículo hay un script para greasemonkey (una extensión del firefox) que una vez instalado, se te agrega un nuevo botón, llamado 'ver sus amigos', disponible en cualquier perfil, aunque no tengas acceso a el.
Con todo esto, que dudas hay? que peleas? que flames?
Esto es lo que hay, nada mas.
Que en facebook se puede saber quienes son los amigos de cualquiera? vale, pero en tuenti no, solo los de tus amigos.
¿Que problema hay?
Lo digo por #43 y similares
edit: bah, llegue tarde
#22, sólo si lo permites explícitamente en tu perfil. Aunque creo que viene activado por defecto (seguro a un 80%).
rooibo.wordpress.com/2009/02/18/agujero-de-seguridad-en-tuenti/#commen
Si es que se le puede llamar «fallo de seguridad» a eso.
EDIT: Miento, acabo de re comprobarlo y sí, sí que va, pero, de que sirve si no puedes entrar?
Las redes sociales no son solo chiquilladas, deberíais comprenderlo y, simplemente, darle un uso correcto.
O tambien es poner una lista de amigos con gente con la que no te hablas, ni siquiera la miras pero comentas sus fotos. Entonces, ¡¡VIVA LOS PARIAS!!
#20 Tuenti es un agujero a la moda tecnologica estupida.
sl2
Si es beta, haces la beta privada, pero de verdad, y una vez que funciona, lo lanzas. Pero eso de lanzarlo como "beta" con invitaciones a 5 usuarios, es un chiste obviamente es con fines de márketing, tan sólo hay que hacer potencias para saber el resultado.
meneame.net/story/no-estar-tuenti-ser-paria-social/2#comment-116
meneame.net/story/no-estar-tuenti-ser-paria-social/2#comment-124
// @name tuentihacks
// @namespace tuenti
// @include www.tuenti.com/*
// ==/UserScript==
var column = document.getElementById('column-550');
var els = column.getElementsByTagName('a');
myRe = /addFriend(([0-9]+)/g;
for (var i = 0; i < els.length; i++) {
var clk = els[i].getAttribute('onClick');
var arr = myRe.exec(clk);
if(arr) {
var id = arr[1];
var btn = document.createElement('a');
btn.setAttribute('href','http://www.tuenti.com/#m=amigos&uid='+id);
btn.className = 'blue';
btn.innerHTML = ' | Ver sus amigos';
els[i].parentNode.appendChild(btn);
} else {
els[i].setAttribute('onClick','');
}
}
El script, para los que no les funciona. (será un problema con el copy-paste en el wordpress)
</sarcasmo>
Chapuceros!
KIERO ENTRAR E MI KUENTA DE TUENTI Y NO ME DEJAN. HE PERDIO LA CLAVE LA KUENTA S MIA. AYUDENME POR FABOR. GRACIAS DE ANTEBRAZO.
Tuenti no es ninguna moda, es un portal útil que, al igual que meneame, se basa en COMPARTIR información. Claro que si te jode que los demás lo hagan sin que a ti te afecte, puede que tengas un problema contigo mismo o con todos los que te rodean.
Venga, otro "bug". Si cuando vas a ver un perfil no te deja verlo por no ser su amigo (o cercano), si en FFox, le das a ver imagen, y en la url, cambias el 120 por un 500, aiva! ves la imagen en grande...
Ale, vuelvo a mis estudios
rooibo.wordpress.com/2009/02/20/tuenti-solventa-todos-los-agujeros-de-
Un 10 para tuenti.
Me parece genial si ya conocías el fallo de antemano, también conocías el XSS que he reportado en privado? el de los eventos?
img27.imageshack.us/img27/9749/imagen5mr6.png
fijaos en el tercer link que tengo, al lado de 'Agregar Amigo'
Una cosa que le falta al Tuenti: Saber la cadena que lleva a un desconocido de quien puedes ver el perfil hacia ti. Saber de cuál de tus amigos es amigo. Es una opción que debe ser muy fácil, bastante interesante, y que no entiendo por qué no existe.
muahahaha buenisimo la imitación de hoygan
Ya veras lo que tarda en aparecer alguien que diga algo así, o aquí en el enlace de la noticia
if {$uid=$idusuariologueado){
mostraramigos($uid);
}else{
echo "estos no son tus amigos";
}
foro.elhacker.net/hacking_avanzado/incrementar_el_contador_de_visitas_
he intentado probarlo, pero con las uid es una mierda y no se hacerlo con el nombre
El rebaño.
a mi tampoco me funciona el script con el greasemonkey
www.mediavida.com/vertema.php?fid=90&tid=316195&pagina=14#399
#57 Frivolizando... te van a coser a negativos
Esto es más bien un bug, ¿no?
Eso no esta nada bien amigo Rooibo
Como añadido diré que el parche de Tuenti ha sido 'a medias' puesto que la versión 1.4 de TuentiPlus vuelve a saltarse este fallo ... podeis comprobarlo
El fallo de XSS lo vi googleando en varios sitios. Desconozco si lo has descubierto tú o no.
Un saludo
Pero los admin de tuenti tambien podian usar POST en vez de GET; que queda más bonito y mucho más discreto