lunes, 27 de julio de 2009

Burlando la autenticacion de sqlservercentral.com

ssc0 Para quienes no conocen sql server central, es un portal web con muchos recursos para desarrolladores y administradores de bases de datos.

Para poder visualizar los interesantes artículos de este portal, sólo hay que crear una cuenta de usuario, de manera gratuita… simple.

Hoy, desde google llegué a este sitio web, y como hace mucho tiempo que no estoy por sqlservercentral.com, olvidé la contraseña que antes usaba… y a veces demora el correo que te devuelve tu contraseña cuando lo solicitas…

Pero pensé que esto no me podía detener y decidí ver si podía burlar el formulario de autenticación para ver el artículo sin loguearme. Y lo logré. El truco lo hice sobre Internet Explorer 8, usando la herramienta Developer Toolbar de Microsoft.

En realidad no fue gran cosa, veamos:

1.- Si ingresan al sqlservercentral e intentan leer un artículo, pero no están autenticados, sólo podrán ver las primeras 3 líneas del artículo y además con un efecto de opacidad bastante molesto.

Yo hice las pruebas sobre esta página : http://www.sqlservercentral.com/articles/65804/

ssc2

Como ven en la imagen, he activado la barra Developer toolbar.. luego de ello, hice click sobre el ícono que se muestra seleccionado en la imagen… luego de ello, cuando pasen el cursor sobre la página web… notarán que se forman recuadros, esos recuadros son los distintos elementos html que han sido usados para darle la estructura a la página que estamos viendo, por ejemplo, el recuadro de la imagen muestra un elemento div:

ssc3

Ahora, traten de seleccionar el mismo área que yo he seleccionado en la imagen… si no lo pueden hacer… vayan a la developer toolbar y localizen la línea que tiene un div con id=”limitContainer”… hagan click allí y luego modifiquen los datos de la derecha, osea, quitenle el check igual como se muestra en la imagen:

ssc4

después de esto, ya deberían poder visualizar el artículo completo… sin necesidad de autenticarse.

Puedes hacer el mismo truco si usas Mozilla Firefox, con la herramienta FireBug.

Ahora, la pregunta es: Qué se hizo mal? por qué ocurre esto?

Podrían haber varias respuestas:

Una de las respuestas sería que no deberían haber traído el artículo entero… sino sólo un extracto, y recién recuperar el artículo completo de la base de datos después que el usuario se ha logueado correctamente.

Bueno, a ver si los de sqlservercentral arreglan ese asunto.

;)

Por Segundo Serrano
Keywords:

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)