mercoledì 20 febbraio 2008

Roma - Il sito del Partito Democratico potrebbe essere a rischio sicurezza. Lo sostiene l'esperto di sicurezza e blogger Roberto Scaccia, secondo cui una errata configurazione della piattaforma usata dal portale consente di accedere a dati riservati.

In particolare, spiega Scaccia a PI, con alcune "semplici operazioni" è "possibile risalire alle credenziali in chiaro per l'accesso al DB Server del sito".

Sul suo blog l'esperto di sicurezza pubblica un breve summary (http://geekinfosecurity.blogspot.com/2008/02/sito-web-del-pd-si-pubucare.html) del problema e due schermate esplicative.
Risolvere il problema non dovrebbe comunque richiedere molto tempo agli admin del sito.


Fonte: Punto Informatico - brevi (http://punto-informatico.it/p.aspx?i=2196049)

confermo lol

è ancora vulnerabile...

Mi viene in mente il sito di forza italia massa... :D
(http://news.kataweb.it/item/295368)

mahhh, 'sti politici ofiano internet


edit: o sono scemo, o non è + vulnerabile

edit2: con IE funzia :asd:

se non si sbrigano a correggere la vunerabilità mi sa che domani troveremo il sito del pd molto diverso :asd:

se non si sbrigano a correggere la vunerabilità mi sa che domani troveremo il sito del pd molto diverso :asd:

:asd:

boh, scrivo una mail... nel caso non se ne siano ancora accorti... :rolleyes:

22:30 la vulnerabilità non è stata ancora rimediata

*

*

lo dico anch'io :asd:


comunque, è vero! Ancora il bug
L'email l'ho scritta, però :D


EDIT: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAH

Vogliono che io installi silverlight per gaurdare democrativa.tv :muro:
E io che speravo che i democratici non fossero pro-MS :(

EDIT2: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAH

E ovviamente non si può installare su FF

incredibbbile!

non si buca più!:eek: :) :D

peccato era divertente :D

peccato era divertente :D

come si fa a capire e scoprire se un sito è vulnerabile?

come si fa a capire e scoprire se un sito è vulnerabile?

in questo caso era uan gran **gata :D

il sito era questo: http://www.partitodemocratico.it/default.asp?c=/gw/templates/default.htm

e bastava sostituire "default.aspx?t=web.config" a "default.asp?c=/gw/templates/default.htm" :p
tra l'altro, era scritto su un blog il procedimento... questo è stato un "caso"...

bastava andare su

http://www.partitodemocratico.it/?t=/web.config

appariva una pagina vuota,ma vedendo il codice sorgente :Perfido:

come si fa a capire e scoprire se un sito è vulnerabile?

A seconda del tipo di attacco che vuoi verificare puoi fare diversi test. In generale si verificano i parametri delle richieste e alcuni "trucchetti standard" che a volte non vengono chiusi da una corretta configurazione.

A volte si può capire che un sito è vulnerabile per caso, ad esempio compilando una form e ritrovandosi un errore strano (ovviamente bisogna saper interpretare gli errori). La maggior parte delle volte la scoperta non è puramente casuale.

A seconda del tipo di attacco che vuoi verificare puoi fare diversi test. In generale si verificano i parametri delle richieste e alcuni "trucchetti standard" che a volte non vengono chiusi da una corretta configurazione.

A volte si può capire che un sito è vulnerabile per caso, ad esempio compilando una form e ritrovandosi un errore strano (ovviamente bisogna saper interpretare gli errori). La maggior parte delle volte la scoperta non è puramente casuale.

mi riferivo proprio a questo: esistono siti che parlano di queste cose?

volevo sapere se esistono delle procedure standard o software in grado di verificare ciò...a scopo puramente informativo...x cultura personale

Sisi, in rete si trova parecchio materiale a riguardo. Personalmente ti consiglio di non fidarti dei tool automatici senza prima sapere davvero cosa fanno. Hanno la spiacevole abitudine di contenere ogni sorta di virus ;)

Comunque basta cercare qualche parola chiave tipo "attachi web" "pentest webapp" "verifica sicurezza web" e approfondire gli argomenti.

Un gran numero di siti sono estremamente superficiali o di natura ben poco etica, a volte contengono pure informazioni errate... bhe un po come tutto il resto della rete, basta usare la testa per selezionare le informazioni giuste :)

Sisi, in rete si trova parecchio materiale a riguardo. Personalmente ti consiglio di non fidarti dei tool automatici senza prima sapere davvero cosa fanno. Hanno la spiacevole abitudine di contenere ogni sorta di virus ;)

Comunque basta cercare qualche parola chiave tipo "attachi web" "pentest webapp" "verifica sicurezza web" e approfondire gli argomenti.

Un gran numero di siti sono estremamente superficiali o di natura ben poco etica, a volte contengono pure informazioni errate... bhe un po come tutto il resto della rete, basta usare la testa per selezionare le informazioni giuste :)

si, infatti ho chiesto qui x andare sul sicuro: la mia è solo curiosità, anche x capire meglio come si diffondono i virus, visto che spesso si diffondono con attachi Ddos su siti, inserendo script malevoli e altre schifezze...

grazie

ciao

datti una lketturina qui:

http://www.hwupgrade.it/forum/showthread.php?t=1683809

troverai qualcosa che ti potrebbe servire.

datti una lketturina qui:

http://www.hwupgrade.it/forum/showthread.php?t=1683809

troverai qualcosa che ti potrebbe servire.

molto interessante

thanks :)