miércoles, 13 de septiembre de 2017

Hackeando las canciones que vas rellenando en LyricsTraining

Ya sabéis que hace un tiempo estuve analizando la seguridad de la web LyricsTraining, y como es verano y la sobrina de mi novia y yo seguimos disfrutando de las canciones de Frozen; estuvimos pasando un rato juntos y me hizo una pregunta que me sorprendió.


Lo que me preguntó fue: "¿Se podrían hackear las canciones de esta página?". Yo la verdad es que pensé en las entradas que ya había escrito, pero cuando fui a responderle, cai en que había hablado de cómo saber las letras de las canciones cuando un usuario dentro de nuestra misma red va a subir esa canción ¿Pero cómo saber las letras en el mismo momento en el que estás escuchando las canciones? La forma es bastante sencilla.


Lo que se me ocurrió fue, en mitad de la reproducción de la canción, pulsar inspeccionar elemento. Llegué a esa parte en la que mostraba el título, autor, idioma, duración y el id de Youtube.


Como vemos, si escribimos youtube.com/watch/?v=[ID] y escribimos la ID obtenida, vemos que no slleva al vídeo original de Youtube Esto es lógico, ya que esa ID es la única que cambia de ese enlace, por lo cuál dispondrán de un valor constante que, por ejemplo será videoYoutube="youtube.com/watch/?=" y después concatenar con nuestro ID.

Pero hasta aquí, no hemos obtenido nada de la canción, no hemos obtenido la letra. Si nos fijamos bien, hay un campo que se llama text_lines= y a continuación, un gran texto sin sentido aparente. Pues bueno, lo único es que est'a codeado con base64, pero eso lo solucionamos en un momento.


Si lo decodeamos, vemos cómo nos aparece la letra de la canción seleccionado, que en este caso, es el Let It Go de Frozen, por lo que solamente tendremos que minimizar la pantalla de LyricsTraining para que veamos esta letra con su temporizador e ir viendo qué huecos tenemos e ir rellenando.

A lo mejor alguno piensa que esto es lo mismo que buscar directamente la letra de la canción en Google y hacer lo mismo, pero en ese caso no es la propia web la que nos cede libremente la canción; además, desde el punto de vista de la seguridad, también es menos entretenido buscar la letra directamente en Google. Y así es como yo mato la curiosidad de mis ratos libres.

¿Hackeamos el Mundo?

1 comentario:

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...