LLevo un par de semanas jugando con tuenti (si la famosa red social española que esta pegando el boom con más de 2000 millones de páginas vistas al mes y más de no se ¿400.000 usuarios registrados?). En las noticias de media internet hablan de su éxito, sus creadores hablan de la dificultad de encontrar «buenos programadores».
El otro día aburrido por la mañana me digo, venga vamos a hacerle solo un pequeño test a ver que saco. En dos segundo tenia más de un XSS en varios párametros. Bueno es una «beta privada» me dije (estaran usando el sistema de google? si ese de dejar en beta un producto no se ¿4 años? para justificar los posibles errores?) no se..
Bueno que más tarde me puse un poco más a fondo y dios mío… no quisiera ser el Lead Manager del producto.. XSS, CSRF, LFI (LFI, LFI joder!!) como ya hice en otros varios casos y posteriormente fueron defaceados (recuerdan el deface a jazztel? les avise una semana antes de que tenian la puta SAM! al descubierto) me puse a escribirles amablemente un mail explicandole los errores y ofreciendome a ayudar, más de una semana despues sigo sin respuesta alguna y aun estan sin corregir.
Que si, que si, mucho AJAX, mucho CSS wapete, mucho pijerio pero a la hora de tirar código seguro….