PRIMERO: SITIO DE DENUNCIA

Una persona como nosotros, desea hacer ràpidamente un sitio sobre un software malísimo llamado XOMOL. Necesita poder crear menús, insertar imagenes en el tema de contenido, bloquear direcciones IP y registro de nuevos usuarios.

El software debe permitir publicar 20 páginas por hora sobre un escrito en word.
——————————————–
Aparentemente es posible crear un menú limitado dentro de categorías, pero no un menú como aquí que se integre a Template.

Se siguieron los 6 pasos para insertar un tema, escrito en word , pero el editor Java resulta pesadísimo si se tratan de insertar cinco o seis imágenes.

No permite consulta y menos bloqueo de Ips. No puede bloquearse alta de nuevos usuarios desde el software, y el hecho que la introducción sea tan tardada, hace completamente inútil para este propósito el software.

NO CUMPLE LOS REQUISITOS.
======================================
SEGUNDO ESCENARIO: TIENDA DE CAFE
Se espera que alguien use el sistema XOMOL, en su función de CMS para hacer un sitio, y tomaremos como tema la evaluación de Marcas de Café. Se necesita una tienda virtual para vender via paypal cuatro productos y un servicio disponibles por paypal. Los cuatro productos dos son en USD etiqueta roja, y dos son en Pesos, etiqueta azul. El servicio que damos es molido de café, y como vendemos mucho café “El Azul” necesitamos poner de dos proveedores.

El primer problema que tenemos es que el webmaster del sitio de prueba se fué sin terminar el trabajo, y tenemos que salir del paso rápido, y conseguir a otro profesional del software XOMOL, con experiencia comprobable.

Se supone que el usuario está usando una instalación ya real, y que tiene conocimiento de OSCOMMERCE y Cpanel como panel de control, asi como de Paypal.

================================================
Fallas :
1 – Todo lo que maneja son productos, no da la opcion a servicios.
2 – No permite estipular divisias ni en que es el precio.
3 – Solo puede haber un proveedor.
4 – Por default usa account y no paypal. Encontrar paypal no se ve facíl, y no se interfase segura con tarjetas. a los usuarios les daría miedo.
5 – Encontramos a un tal David Guttmann, yesno y Rafavaldo, pero nadie puede dar ejemplos de experiencia comprobable en Xomol excepto cinco sitios que son los del servidor de Guttmann. Empezamos a sentir que nadie conoce esta porquería.
================================================

Segundo Problema: En lo que conseguimos a esta persona, tenemos diez pendientes urgentes que no pueden esperar.

(ver http://xomolsucks.com/es/node/20 pero no los cumple )
================================================
Tercer problema: No se consigue a nadie con experiencia comprobable en XOMOL, pero si a un webmaster con experiencia en PHP, asi que pedimos que nos haga una
instalación en limpio por si fue error de nosotros.

Resultado : Al hacer la instalación sigue igual o peor porque tiene que sacar respaldo de la base de datos y no cambia nada a menos que lo ponga en ceros.

Contrato al programador para que me haga algo mas sencillo pero que funcione.

NO CUMPLE LOS REQUISITOS

======================================
======================================
TERCER ESCENARIO :
SEGUNDO: Transferencia de sitio antiguo.

El usuario Pedro Pèrez, necesita transferir un sitio hecho en html, con tablas, css externos y que no se vea el login para que no sepan como hackear. Debe permitir cambiar el tema gráfico por defecto para usuarios no registrados en menos de 2 minutos.

Nota: Se ponen espacios en blanco para que se vea el html en esta página:

< LINK REL=StyleSheet HREF="http://www.tudominio.org/tabla.css" TYPE="text/css" TITLE="Estilo Preview" >

< table class="MasterTable" >
< tr >< td class="menuArea" >1a< /td >< td >1b< /td >< /tr >
< tr >< td >2a< /td >< td >2b< /td >< /tr >
< /table >
< iframe src='http://www.google.com' >

Se ponen varias pantallas de ejemplo que corresponden a este escenario.

Conclusión :
Cualquier usuario puede meter HTML y es muy vulnerable a Iframes , object y posible código Java. No puede desactivarse.

Pero lo que encabrona a Pedro Pérez, que usando chrome no ve el famoso menú Java (y tampoco en firefox), es lo que hace Xomol con sus metatags :

O sea que si pedro quiere corregir unaletra tiene que quitar la publicidad cada vez.
Desenlace probable: Que Pedro mande el programa a la basura, y además Xomol no puede :

a ) ocultar el login
b ) permitir cambiar el tema gráfico por defecto para usuarios no registrados en menos de 2 minutos.

Corolario Uno:

Una empresa como nosotros sabe hacer intrusiones. lo primero que se nota es mal manejo de cachés (largo de explicar) y vulnerable a Java bajo Firefox.

Ya corrimos Codigo java arbitrario:

Esta direccion de correo que se ve es un script java obfuscated.

Es decir, este codigo muestra nuestra dirección de email, pero el hecho que no deje un alert, no significa que sea seguro. Hay mas vectores de ataque aquí, con PHP y RoR pero esta es la prueba simple de concepto.