.dsy:it. - [SITI BUCATI] Telecom Italia

Calendar

Members

Faq

Logout

.dsy:it. : Powered by vBulletin version 2.3.1

.dsy:it. > Community > Forum De Bell Tolls > [SITI BUCATI] Telecom Italia

Last Thread Next Thread

Author

Thread Expand all | Contract all

DeepBlue

tired guy

User info:

Registered: Sep 2003
Posts: 4258 (0.54 al dì)
Location: CSN
Corso: Info tlc
Anno:
Time Online: 52 Days, 8:40:31 [...]
Status: Offline

Post actions:

Edit | Report | IP: Logged

[SITI BUCATI] Telecom Italia

Quoto da questa news di Repubblica:

La vulnerabilità che affliggeva il sistema di Telecom, tecnicamente nota come "Sql Injection", è un tipo di falla molto comune. "Per chi è pratico di problemi di sicurezza", spiegano quelli di Ants, "è facile trovarla e testarla. Di solito, infatti, colpisce i siti minori". L'ex monopolista ha spiegato che la vulnerabilità era un problema temporaneo, provocato da una transizione del sistema.

Un sistema è in transizione (che di preciso lo sanno solo loro cosa significa) e quindi è vulnerabile alle sql-injection... :rotfl:

__________________
~ get Debian! ~ get FreeBSD! ~ get OpenBSD! ~

19-04-2004 14:24

Click here to Send DeepBlue a Private Message

korn

SET FIRE!

User info:

Registered: Jun 2002
Posts: 5793 (0.69 al dì)
Location: Milano
Corso: Comunicazione Digitale
Anno: 1°! ....fuori corso :(
Time Online: 37 Days, 5:56:42 [...]
Status: Offline

Post actions:

Edit | Report | IP: Logged

Uhm... sbaglio o l'SQL Injection è il bug che permette di bucare un sito inserendo comandi SQL nei campi user/pass e simili ?

Effettivamente spesso nei siti minori non ci preoccupa un granché di questa cosa, ma in realtà basta fare un paio di replace sulla stringa immessa per immunizzarsi.

Comunque :rotfl:

...riguardo ai favolosi ipse dixit di Telecom:

"The attacks to network-connected computers by hackers [...] aren't possible if you connect to Internet using a modem and Tin.it [...] No one will ever know which IP you will have next time you connect, and so you will be less vulnerable during your Internet connections using Tin.it."

__________________
» Collect some stars to shine for you, and start today ‘cause there are only a few. _ (In Flames)
» Don't stop for nothing, it's full speed or nothing! I'm taking down, you know, whatever is in my way! _ ('tallica)
» I am my own god, I do as I please. _ (Pain)
» Ninetynine, ninetynine knives! Ninetynine knives inside! Nobody gets out alive! _ (The Haunted)
Web: http://www.negativesignal.com - ICQ# 171585477 - Death to software patents! And TCPA too! "e uno!", diceva il boia.

19-04-2004 15:37

Click here to Send korn a Private Message

Serpico

.gran:filibustiere.

User info:

Registered: Jun 2002
Posts: 6450 (0.77 al dì)
Location:
Corso: Laureato Info
Anno:
Time Online: 62 Days, 7:44:07: [...]
Status: Offline

Post actions:

Edit | Report | IP: Logged

miiiii non ci posso credere!!!
troppo :lol:

__________________
~"sicurezza... oscurità... solo un altro sballato... in un mondo di sballati." (paura & delirio a Las Vegas)
~"C'HO CERTI CAZZI MAFA' CHE NEMMENO TU CHE SEI PRATICA LI HAI VISTI MAI..." (Proietti in Febbre da cavallo)
~"Il segno si decifra l'apparenza non si decifra. Non si deve assolutamente decifrare, non esiste proprio al mondo che l'apparenza si decifri" (Grande Max Mazzotta in PAZ )
~"Sono un eroe, perché lotto tutte le ore Sono un eroe perché combatto per la pensione Sono un eroe perché proteggo i miei cari dalle mani dei sicari dei cravattari Sono un eroe perchè sopravvivo al mestiere Sono un eroe straordinario tutte le sere Sono un eroe e te lo faccio vedere Ti mostrerò cosa so fare col mio super potere" (Capa)

19-04-2004 16:02

Click here to Send Serpico a Private Message

REQUIEM

TYPE A SECETOR

User info:

Registered: Jun 2006
Posts: 1102 (0.16 al dì)
Location:
Corso:
Anno:
Time Online: 53 Days, 5:38:53 [...]
Status: Offline

Post actions:

Edit | Report | IP: Logged

Originally posted by korn
Uhm... sbaglio o l'SQL Injection è il bug che permette di bucare un sito inserendo comandi SQL nei campi user/pass e simili ?

Esatto

ma che sfigati

In pratica tu inserisci nei campi user / pass una stringa tipo:
ciao' OR 'a'='a

e verrà fuori una query tipo:
Select * From NomeTabella Where Login = 'ciao' OR 'a'='a' AND Password = 'ciao' OR 'a'='a'

Poichè 'a'='a' è sempre vera e l'operatore logico usato è un OR, l'accesso è consentito

Fonte: Hacker Journal (x evitare le figura da pirla alla baba(babbo)boom)

:lol:

19-04-2004 16:33

Click here to Send REQUIEM a Private Message

nous

.:Retore Pomposo:.

User info:

Registered: Dec 2001
Posts: 2945 (0.34 al dì)
Location: Fino Mornasco - Como
Corso: Informatica
Anno: Specialista
Time Online: 16 Days, 13:56:49 [...]
Status: Offline

Post actions:

Edit | Report | IP: Logged

Peccato per la fonte scelta

__________________
Cristian,il Nous che invoglia ^_^

"La capa è troppo in la,e la sbarba è troppo giovane..mi sa che qua si va in bianco"
Ryo Saeba (City Hunter)

19-04-2004 16:42

Click here to Send nous a Private Message

REQUIEM

TYPE A SECETOR

User info:

Registered: Jun 2006
Posts: 1102 (0.16 al dì)
Location:
Corso:
Anno:
Time Online: 53 Days, 5:38:53 [...]
Status: Offline

Post actions:

Edit | Report | IP: Logged

Off-Topic:
Si in effetti a volte è lamer journal, xò qualcosa di carino c'è, poi ho preso la raccolta di 6 numeri che costa anche poco

19-04-2004 16:53

recoil

dsy adminz

User info:

Registered: Mar 2002
Posts: 4454 (0.53 al dì)
Location: Milano / Erba
Corso: TICOM
Anno: laureato
Time Online: 61 Days, 16:17:45 [...]
Status: Offline

Post actions:

Edit | Report | IP: Logged

Originally posted by ReQuIeM
Fonte: Hacker Journal (x evitare le figura da pirla alla baba(babbo)boom)

se la compro divento anche io un hacker?
fico!
non è che faccio la fine di quel tizio del thread di domenica scorsa?

19-04-2004 16:56

Click here to Send recoil a Private Message

REQUIEM

TYPE A SECETOR

User info:

Registered: Jun 2006
Posts: 1102 (0.16 al dì)
Location:
Corso:
Anno:
Time Online: 53 Days, 5:38:53 [...]
Status: Offline

Post actions:

Edit | Report | IP: Logged

Originally posted by recoil
se la compro divento anche io un hacker?
fico!
non è che faccio la fine di quel tizio del thread di domenica scorsa?

non l'ho capita

19-04-2004 17:39

recoil

dsy adminz

User info:

Registered: Mar 2002
Posts: 4454 (0.53 al dì)
Location: Milano / Erba
Corso: TICOM
Anno: laureato
Time Online: 61 Days, 16:17:45 [...]
Status: Offline

Post actions:

Edit | Report | IP: Logged

Originally posted by ReQuIeM
non l'ho capita

parlavo di quel thread in cui il tipo tiene il diario della sua avventura con linux
era una battuta, non voglio mica offendere chi compra hacker journal. dopotutto è una rivista come un'altra

19-04-2004 17:43

ripe

- up in the mountains -

User info:

Registered: Jun 2002
Posts: 9469 (1.13 al dì)
Location: Cinisellooo
Corso: TICO TICO
Anno: Primo
Time Online: 61 Days, 2:33:39 [...]
Status: Offline

Post actions:

Edit | Report | IP: Logged

:asd: ...sto correggendo adesso questo errore che non avevo mai immaginato!

__________________
«And if you ever smell christian blood up in the mountains, then get your axe and chop them down!»

19-04-2004 17:44

Click here to Send ripe a Private Message

DeepBlue

tired guy

User info:

Registered: Sep 2003
Posts: 4258 (0.54 al dì)
Location: CSN
Corso: Info tlc
Anno:
Time Online: 52 Days, 8:40:31 [...]
Status: Offline

Post actions:

Edit | Report | IP: Logged

Originally posted by ReQuIeM
Esatto

ma che sfigati

In pratica tu inserisci nei campi user / pass una stringa tipo:
ciao' OR 'a'='a

e verrà fuori una query tipo:
Select * From NomeTabella Where Login = 'ciao' OR 'a'='a' AND Password = 'ciao' OR 'a'='a'

Poichè 'a'='a' è sempre vera e l'operatore logico usato è un OR, l'accesso è consentito

Fonte: Hacker Journal (x evitare le figura da pirla alla baba(babbo)boom)

Hacker Journal... :lol:

avevo preso il secondo numero anni fa, e avevano pubblicato la notizia che dopo 24 ore che erano on line un tizio gli aveva bucato il serve mettendoci dentro una sua foto per sfregio

Cmq l'sql-injection può essere molto pericoloso, in quanto con una semplice stringa passata via post (che non scrivo per motivi di sicurezza, anche se è abbastanza ovvio cosa passare al browser) si può cancellare TUTTO un DB...

__________________
~ get Debian! ~ get FreeBSD! ~ get OpenBSD! ~

20-04-2004 00:36

Mino

In pensione :)

User info:

Registered: Mar 2002
Posts: 2997 (0.35 al dì)
Location: Dublin!
Corso: Informatica 3ennale
Anno: Laureato :)
Time Online: 12 Days, 2:11:07: [...]
Status: Offline

Post actions:

Edit | Report | IP: Logged

Non avete idea di come sia il backoffice di telecom per il provisioning di adsl o simili... terrificante

Fino a un po' di tempo fa funzionava uppando dei file di testo delimitati (csv) via ftp, poi si sono modernizzati e han fatto una "intranet" che si inchiodava per motivi futili (tipo un apostrofo di troppo o simili) e offriva altre mille chicche, sulle quali è meglio se stendiamo un nda

Telecom è sempre oltre...

__________________
icq: 57553717 - mail: mino@ngi.it - web: www.minux.it - Fattori Arcani

20-04-2004 00:47

nous

.:Retore Pomposo:.

Post actions:

Edit | Report | IP: Logged

Transizione temporanea??

BOT
DoSomethingWrong();
CreatePermanentSecurityBug();
Commit;
EOT

__________________
Cristian,il Nous che invoglia ^_^

"La capa è troppo in la,e la sbarba è troppo giovane..mi sa che qua si va in bianco"
Ryo Saeba (City Hunter)

20-04-2004 08:13

DeepBlue

tired guy

User info:

Registered: Sep 2003
Posts: 4258 (0.54 al dì)
Location: CSN
Corso: Info tlc
Anno:
Time Online: 52 Days, 8:40:31 [...]
Status: Offline