.dsy:it. - Forum De Bell Tolls - [Informatica]Hackerato sito della biococca

Il progetto dsy.it è l'unofficial support site dei corsi di laurea del Dipartimento di Scienze dell'Informazione e del Dipartimento di Informatica e Comunicazione della Statale di Milano. E' un servizio degli studenti per gli studenti, curato in modo no-profit da un gruppo di essi. I nostri servizi comprendono aree di discussione per ogni Corso di Laurea, un'area download per lo scambio file, una raccolta di link e un motore di ricerca, il supporto agli studenti lavoratori, il forum hosting per Professori e studenti, i blog, e molto altro...
In questa sezione è indicizzato in textonly il contenuto del nostro forum

.dsy:it. Archive > Community > Forum De Bell Tolls

[Informatica]Hackerato sito della biococca
Clicca QUI per vedere il messaggio nel forum

kokorina

http://www.disco.unimib.it/home/did...sp?idesame=1187

...no comment...

Lunik

:lol:
ma è uno scherzo?????

kokorina

...è troppo bello, quando l'ho visto stavo impazzendo dal ridere...e come dice qualcuno:
MI TI CI!!!!!!!!!!!

maja

:lol:

...ma vaff...... :D

korn

:D ma che burloni!

0m4r

LOL...cmq da qualche parte su questo forum era stato detto che era stato fatto un deface anche ad alcuni domini DICO....

Dodo

mazza che colpo! avvisatemi almeno :D

BeppeGoal

Ma è una foto abbastanza vecchia di Pamela, oggi è diversa.

Mino

cmq è semplicemente un "injecting" di codice html in una form che non lo strippa... se lo merita chi l'ha fatto

0m4r

"che non lo strippa"?
sul garzanti non c'è....sarebbe a dire?

Mino

1) fai un formettino di iscrizione
2) questo coso prende i dati via get/post e li butta, chessò, su database così come sono
3) un'altra pagina legge i dati da db, così come sono.

Se fai una cosa simile, qualunque stringa scrivo nel form, viene ricopiata nella pagina di output. Quindi anche se ti metto del codice html, questo verrà interpretato dal browser.
La soluzione (banalissima!) è di eliminare (strippare) con una regex i tag oppure con funzioni tipo la strip_tags di php.

Ancora più grave è non strippare gli apici, cosa che spesso permette di aggirare controlli sql.

Serpico

sei un luminare mino. noi ti adoriamo. ti glorifichiamo. ecc ecc
:lode:

;)

0m4r

Originally posted by Serpico
sei un luminare mino. noi ti adoriamo. ti glorifichiamo. ecc ecc
:lode:

;)

nei secoli dei secoli....AAAAAAAAAAAMEEEEEEEEEEN! ;P

Serpico

Off-Topic:
ora arriverà Renaulto a dirci che Mino non esiste... :asd:

AlphaGamma

Originally posted by Mino
Ancora più grave è non strippare gli apici, cosa che spesso permette di aggirare controlli sql. [/B]

Ti onoro della nomina di mio revisore di sicurezza del progetto di basi. :D

Sephirot

Originally posted by Mino

Se fai una cosa simile, qualunque stringa scrivo nel form, viene ricopiata nella pagina di output. Quindi anche se ti metto del codice html, questo verrà interpretato dal browser.
La soluzione (banalissima!) è di eliminare (strippare) con una regex i tag oppure con funzioni tipo la strip_tags di php.

Ancora più grave è non strippare gli apici, cosa che spesso permette di aggirare controlli sql.

ma un'hacker, una volta arrivato al DB non è anche capace di arrivare al codice della form e disattivare ugualmente quei controlli? :?

fabpicca

Originally posted by Sephirot
ma un'hacker, una volta arrivato al DB non è anche capace di arrivare al codice della form e disattivare ugualmente quei controlli? :?

no stai facendo un po' di confusione tra form HTML e database ? Il form e' bello limpido nell'HTML i costraint o robe simili nel DBMS.