Si lo completamos con algunos datos de prueba e interceptamos el POST que se realiza obtenemos una idea de los parámetros que se envían. Uno de los puntos interesantes aquí es que no hallamos método alguno para combatir la automatización (CAPTCHA por ej.).
Tal vez bastaría con tener el ID de la noticia y el correo de destino para poder recomendarla, entonces el sistema la buscaría a través de su ID y obtendría los campos necesarios -título, copete, etc.- para formatear el correo y mandarlo. Pero en este caso estos otros campos también se utilizan.
Es posible enviar un POST con la siguiente información (en este caso utilizando el RestClient de Ruby, aunque serviría cualquier herramienta: curl, etc.):
Y obtener lo siguiente. Como riesgo principal: correo lo suficientemente auténtico, enviado desde el mismísimo servidor del medio, y hasta con logo incluido. Phishing, etc.:
Otro periódico con problemas similares (y un correo enviado explotando dicha vulnerabilidad). Jonathan Funes inauguró una serie de posts sobre esta idea y explora con mayor detalle el caso de 5días:
No hay comentarios:
Publicar un comentario