Curiosidad: HTML Injection en Dota 2

Saludos y muy buenas tardes, traigo una curiosidad que me encontré últimamente mientras jugaba al Dota 2. No necesito que sepáis de qué va el juego, porque de eso no va la historia.

Simplemente vamos a hacer una reflexión sobre la reciente práctica que hemos tenido en ESXS: hemos hecho que en una página web se ejecuten comandos SQL mediante la práctica de SQL injection, que es el envío de comandos directos de SQL sobre envíos tradicionales de formularios, como por ejemplo solicitar el acceso a una página importante mediante usuario y contraseña. Esta práctica es sencilla a la par que muy peligrosa, pero las empresas ya tienen el remedio adecuado.Ahora bien, ¿y si no se usara con fines maléficos? ¿Y si, por ejemplo, alguien utilizara SQL Injection para utilizarlo con fines cómicos, o añadir estilo a palabras o texto? Cosas como las que voy a mostrar me he encontrado mientras curioseaba perfiles y nombres de usuarios de Dota 2.

Pero la práctica no es exactamente SQL Injection, si no más bien “HTML Injection”.  Voy a explicarlo con mejor detalle:

Supongamos que queramos añadir un estilo de texto a mi nombre de usuario Getu. Para ello necesitaremos un tag de HTML (decrepitado, no se usa en HTML5) llamado <font>, que permite cambiar tamaño y estilo de fuente para un texto o título.

Éste es el “antes”:

2015-05-24_00002

Y le vamos a añadir el siguiente tag de <font>:

2015-05-24_00004

Así lo que provoca es que cuando el juego haga una llamada al nombre del jugador, coja el nombre y también el tag. El resultado de este estilo es el siguiente:

2015-05-24_00003

Como podemos ver, tenemos el nombre “Getu” con un estilo de fuente diferente, que es reconocible porque la letra Impact es ésa que se muestra en la foto.

Otro ejemplo es que no sólo podemos cambiar nombres de jugadores, si no que podemos modificar tamaño de las fuentes de otras cosas. Por ejemplo, un simple objeto cosmético en dota 2 sería como el siguiente:

2015-05-17_00004

Podemos ver que tiene un nombre y un tipo. También puede contener una descripción, que suele ser el texto en cursiva. Muy bien, ¿qué pasa si le añadimos el tag <font size=”72″> a la descripción del objeto? Que ocurren cosas como esta:

2015-05-17_00003

Como podemos ver, es un objeto cosmético que no tiene nombre ni descripción ni tipo, porque está sobreescrito por una inmensa lista de “PRESS R”, perteneciente al tag <font size=”72″>.

Obviamente ésto no provocará una caída de servidores ni pérdidas de dinero, pero no está de más observar que el tema de SQL Injection sirve para cosas más curiosas y a veces divertidas.

Sin más, espero que os haya gustado mi entrada, un saludo y hasta la próxima.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s