c.m.g
10-10-2007, 09:53
lunedì 08 ottobre 2007
Roma - Il neonato sito del Comitato Walter Veltroni per il Partito Democratico, con dominio lanuovastagione.it (http://www.lanuovastagione.it/), conteneva una seria falla di sicurezza, ora apparentemente corretta.
Lo ha segnalato a Punto Informatico lo sviluppatore David De Giacomi, di dotnethell.it (http://www.dotnethell.it/), che esaminando l'URL di alcune pagine del sito ha scoperto qualcosa di "clamoroso".
"Il sito - spiega De Giacomi - esegue una applicazione ASP.NET, quindi se voi mettete come nome file /web.config vi apparirà automaticamente in chiaro proprio il file web.config contenente tutte le password di accesso al sito, al database, nome del database e così via".
Il link al file web.config ora non funziona più, ma la vulnerabilità è stata ben documentata in questo post (http://blogs.ugidotnet.org/raffaele/archive/2007/10/04/88715.aspx) del blog di Raffaele Rialdi, che fra l'altro ha messo in luce anche altre debolezze nel codice del sito veltroniano.
update
Nel forum si trova anche la testimonianza di Alessio Marziali, il quale afferma di aver scoperto la vulnerabilità del web.config l'11 settembre e di averne verificato la presenza anche su diversi altri siti italiani.
Fonte: Punto Informatico (http://punto-informatico.it/p.aspx?i=2083486)
Roma - Il neonato sito del Comitato Walter Veltroni per il Partito Democratico, con dominio lanuovastagione.it (http://www.lanuovastagione.it/), conteneva una seria falla di sicurezza, ora apparentemente corretta.
Lo ha segnalato a Punto Informatico lo sviluppatore David De Giacomi, di dotnethell.it (http://www.dotnethell.it/), che esaminando l'URL di alcune pagine del sito ha scoperto qualcosa di "clamoroso".
"Il sito - spiega De Giacomi - esegue una applicazione ASP.NET, quindi se voi mettete come nome file /web.config vi apparirà automaticamente in chiaro proprio il file web.config contenente tutte le password di accesso al sito, al database, nome del database e così via".
Il link al file web.config ora non funziona più, ma la vulnerabilità è stata ben documentata in questo post (http://blogs.ugidotnet.org/raffaele/archive/2007/10/04/88715.aspx) del blog di Raffaele Rialdi, che fra l'altro ha messo in luce anche altre debolezze nel codice del sito veltroniano.
update
Nel forum si trova anche la testimonianza di Alessio Marziali, il quale afferma di aver scoperto la vulnerabilità del web.config l'11 settembre e di averne verificato la presenza anche su diversi altri siti italiani.
Fonte: Punto Informatico (http://punto-informatico.it/p.aspx?i=2083486)