[NEWS] PD, bucabile il sito del partito?

[c.m.g]

mercoledì 20 febbraio 2008

Roma - Il sito del Partito Democratico potrebbe essere a rischio sicurezza. Lo sostiene l'esperto di sicurezza e blogger Roberto Scaccia, secondo cui una errata configurazione della piattaforma usata dal portale consente di accedere a dati riservati.

In particolare, spiega Scaccia a PI, con alcune "semplici operazioni" è "possibile risalire alle credenziali in chiaro per l'accesso al DB Server del sito".

Sul suo blog l'esperto di sicurezza pubblica un breve summary del problema e due schermate esplicative.
Risolvere il problema non dovrebbe comunque richiedere molto tempo agli admin del sito.


Fonte: Punto Informatico - brevi

[Bugs Bunny]

confermo lol

è ancora vulnerabile...

[leolas]

Mi viene in mente il sito di forza italia massa...
(http://news.kataweb.it/item/295368)

mahhh, 'sti politici ofiano internet


edit: o sono scemo, o non è + vulnerabile

edit2: con IE funzia

[Bugs Bunny]

se non si sbrigano a correggere la vunerabilità mi sa che domani troveremo il sito del pd molto diverso

[leolas]

Quote:

Originariamente inviato da Bugs Bunny

se non si sbrigano a correggere la vunerabilità mi sa che domani troveremo il sito del pd molto diverso

boh, scrivo una mail... nel caso non se ne siano ancora accorti...

[Bugs Bunny]

22:30 la vulnerabilità non è stata ancora rimediata

[Bugs Bunny]

*

[leolas]

Quote:

Originariamente inviato da Bugs Bunny

*

lo dico anch'io


comunque, è vero! Ancora il bug
L'email l'ho scritta, però


EDIT: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAH

Vogliono che io installi silverlight per gaurdare democrativa.tv
E io che speravo che i democratici non fossero pro-MS

EDIT2: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAH

E ovviamente non si può installare su FF

[leolas]

incredibbbile!

non si buca più!

[Bugs Bunny]

peccato era divertente

[murack83pa]

Quote:

Originariamente inviato da Bugs Bunny

peccato era divertente

come si fa a capire e scoprire se un sito è vulnerabile?

[leolas]

Quote:

Originariamente inviato da murack83pa

come si fa a capire e scoprire se un sito è vulnerabile?

in questo caso era uan gran **gata

il sito era questo: http://www.partitodemocratico.it/def...es/default.htm

e bastava sostituire "default.aspx?t=web.config" a "default.asp?c=/gw/templates/default.htm"
tra l'altro, era scritto su un blog il procedimento... questo è stato un "caso"...

[Bugs Bunny]

bastava andare su

http://www.partitodemocratico.it/?t=/web.config

appariva una pagina vuota,ma vedendo il codice sorgente

[W.S.]

Quote:

Originariamente inviato da murack83pa

come si fa a capire e scoprire se un sito è vulnerabile?

A seconda del tipo di attacco che vuoi verificare puoi fare diversi test. In generale si verificano i parametri delle richieste e alcuni "trucchetti standard" che a volte non vengono chiusi da una corretta configurazione.

A volte si può capire che un sito è vulnerabile per caso, ad esempio compilando una form e ritrovandosi un errore strano (ovviamente bisogna saper interpretare gli errori). La maggior parte delle volte la scoperta non è puramente casuale.

[murack83pa]

Quote:

Originariamente inviato da W.S.

A seconda del tipo di attacco che vuoi verificare puoi fare diversi test. In generale si verificano i parametri delle richieste e alcuni "trucchetti standard" che a volte non vengono chiusi da una corretta configurazione.

A volte si può capire che un sito è vulnerabile per caso, ad esempio compilando una form e ritrovandosi un errore strano (ovviamente bisogna saper interpretare gli errori). La maggior parte delle volte la scoperta non è puramente casuale.

mi riferivo proprio a questo: esistono siti che parlano di queste cose?

volevo sapere se esistono delle procedure standard o software in grado di verificare ciò...a scopo puramente informativo...x cultura personale

[W.S.]

Sisi, in rete si trova parecchio materiale a riguardo. Personalmente ti consiglio di non fidarti dei tool automatici senza prima sapere davvero cosa fanno. Hanno la spiacevole abitudine di contenere ogni sorta di virus

Comunque basta cercare qualche parola chiave tipo "attachi web" "pentest webapp" "verifica sicurezza web" e approfondire gli argomenti.

Un gran numero di siti sono estremamente superficiali o di natura ben poco etica, a volte contengono pure informazioni errate... bhe un po come tutto il resto della rete, basta usare la testa per selezionare le informazioni giuste

[murack83pa]

Quote:

Originariamente inviato da W.S.

Sisi, in rete si trova parecchio materiale a riguardo. Personalmente ti consiglio di non fidarti dei tool automatici senza prima sapere davvero cosa fanno. Hanno la spiacevole abitudine di contenere ogni sorta di virus

Comunque basta cercare qualche parola chiave tipo "attachi web" "pentest webapp" "verifica sicurezza web" e approfondire gli argomenti.

Un gran numero di siti sono estremamente superficiali o di natura ben poco etica, a volte contengono pure informazioni errate... bhe un po come tutto il resto della rete, basta usare la testa per selezionare le informazioni giuste

si, infatti ho chiesto qui x andare sul sicuro: la mia è solo curiosità, anche x capire meglio come si diffondono i virus, visto che spesso si diffondono con attachi Ddos su siti, inserendo script malevoli e altre schifezze...

grazie

ciao

[c.m.g]

datti una lketturina qui:

http://www.hwupgrade.it/forum/showthread.php?t=1683809

troverai qualcosa che ti potrebbe servire.

[murack83pa]

Quote:

Originariamente inviato da c.m.g

datti una lketturina qui:

http://www.hwupgrade.it/forum/showthread.php?t=1683809

troverai qualcosa che ti potrebbe servire.

molto interessante

thanks