[SITI BUCATI] Telecom Italia
Clicca QUI per vedere il messaggio nel forum |
| DeepBlue |
Quoto da questa news di Repubblica:
La vulnerabilità che affliggeva il sistema di Telecom, tecnicamente nota come "Sql Injection", è un tipo di falla molto comune. "Per chi è pratico di problemi di sicurezza", spiegano quelli di Ants, "è facile trovarla e testarla. Di solito, infatti, colpisce i siti minori". L'ex monopolista ha spiegato che la vulnerabilità era un problema temporaneo, provocato da una transizione del sistema.
:rotfl:
Un sistema è in transizione (che di preciso lo sanno solo loro cosa significa) e quindi è vulnerabile alle sql-injection... :rotfl: |
| korn |
Uhm... sbaglio o l'SQL Injection è il bug che permette di bucare un sito inserendo comandi SQL nei campi user/pass e simili ?
Effettivamente spesso nei siti minori non ci preoccupa un granché di questa cosa, ma in realtà basta fare un paio di replace sulla stringa immessa per immunizzarsi.
Comunque :rotfl:
...riguardo ai favolosi ipse dixit di Telecom:
"The attacks to network-connected computers by hackers [...] aren't possible if you connect to Internet using a modem and Tin.it [...] No one will ever know which IP you will have next time you connect, and so you will be less vulnerable during your Internet connections using Tin.it."
|
| Serpico |
miiiii non ci posso credere!!!
troppo :lol: |
| ReQuIeM |
Originally posted by korn
Uhm... sbaglio o l'SQL Injection è il bug che permette di bucare un sito inserendo comandi SQL nei campi user/pass e simili ?
Esatto :D
ma che sfigati
In pratica tu inserisci nei campi user / pass una stringa tipo:
ciao' OR 'a'='a
e verrà fuori una query tipo:
Select * From NomeTabella Where Login = 'ciao' OR 'a'='a' AND Password = 'ciao' OR 'a'='a'
Poichè 'a'='a' è sempre vera e l'operatore logico usato è un OR, l'accesso è consentito
Fonte: Hacker Journal (x evitare le figura da pirla alla baba(babbo)boom)
:lol: :rotfl: |
| nous |
| Peccato per la fonte scelta :) |
| ReQuIeM |
Off-Topic:
Si in effetti a volte è lamer journal, xò qualcosa di carino c'è, poi ho preso la raccolta di 6 numeri che costa anche poco |
| recoil |
Originally posted by ReQuIeM
Fonte: Hacker Journal (x evitare le figura da pirla alla baba(babbo)boom)
se la compro divento anche io un hacker?
fico!
non è che faccio la fine di quel tizio del thread di domenica scorsa? |
| ReQuIeM |
Originally posted by recoil
se la compro divento anche io un hacker?
fico!
non è che faccio la fine di quel tizio del thread di domenica scorsa?
non l'ho capita |
| recoil |
Originally posted by ReQuIeM
non l'ho capita
parlavo di quel thread in cui il tipo tiene il diario della sua avventura con linux
era una battuta, non voglio mica offendere chi compra hacker journal. dopotutto è una rivista come un'altra |
| ripe |
| :asd: ...sto correggendo adesso questo errore che non avevo mai immaginato! :D |
| DeepBlue |
Originally posted by ReQuIeM
Esatto :D
ma che sfigati
In pratica tu inserisci nei campi user / pass una stringa tipo:
ciao' OR 'a'='a
e verrà fuori una query tipo:
Select * From NomeTabella Where Login = 'ciao' OR 'a'='a' AND Password = 'ciao' OR 'a'='a'
Poichè 'a'='a' è sempre vera e l'operatore logico usato è un OR, l'accesso è consentito
Fonte: Hacker Journal (x evitare le figura da pirla alla baba(babbo)boom)
:lol: :rotfl:
Hacker Journal... :lol: avevo preso il secondo numero anni fa, e avevano pubblicato la notizia che dopo 24 ore che erano on line un tizio gli aveva bucato il serve mettendoci dentro una sua foto per sfregio :D
Cmq l'sql-injection può essere molto pericoloso, in quanto con una semplice stringa passata via post (che non scrivo per motivi di sicurezza, anche se è abbastanza ovvio cosa passare al browser) si può cancellare TUTTO un DB... |
| Mino |
Non avete idea di come sia il backoffice di telecom per il provisioning di adsl o simili... terrificante :|
Fino a un po' di tempo fa funzionava uppando dei file di testo delimitati (csv) via ftp, poi si sono modernizzati e han fatto una "intranet" che si inchiodava per motivi futili (tipo un apostrofo di troppo o simili) e offriva altre mille chicche, sulle quali è meglio se stendiamo un nda :D
Telecom è sempre oltre... |
| nous |
Transizione temporanea??
BOT
DoSomethingWrong();
CreatePermanentSecurityBug();
Commit;
EOT |
| DeepBlue |
Ne ha parlato anche Punto Informatico: link
Interessante anche il documento che hanno linkato :) |
|
|
|
