Bucare o entrare in un sito Internet. Resoconto di un attacco

per entrare in un sito intrenet come si elude usando il protocollo ftp l’user name e la pasword
sarei molto felice se mi rispondessi grazzie

Complimenti Salvatore…6 un grande. “Il mondo deve sapere che per essere forti si puo’ stare benissimo seduti dietro un computer.”

Salvatore, sei troppo forte.Anche io sono siciliano.Davvero un grande resoconto di un grande attacco.Ho altre tue guide tra i preferiti e devo dire che mi sono state utili.

P.S.:Dovrei comprarmi un portatile con 4 Gigabyte di memoria RAM,250 GB di HDD,processore da 2 ghz e qualcos’altro.Mi consigli di lasciare Windows Vista Bussines o metto Windows XP? Grazie in anticipo.
Giuseppe

Volevo chiederti…….
Ti ho inserito in msn… spero di trovarti connesso….
Avrei delle domande da farti se non creo problemi :-)

Anche se sono soddisfatti di vedere che l’hacking non è morto, e senza dubbi sei stato molto bravo, ed e notevole la tua capacità di osservazone. Non vorrei ripetere quello ke hanno gia detto gli altri, anche perche non è stata una mossa molto inteliggente, senza contare il fatto ke hai in poche parole detto che eri stato tu.
Spero di rivenire su questo blog, e non trovarti in qualke cella.
Cordiali saluti.
(ogni cosa che ho detto non è una predica, quindi non offendo il tuo intelletto)

ciao
posso entrare in un router stando cossesso a internet e trovare la sua password di connessione(quella WPA…o WEP) cosi da far connettere via wireless un mio amico che abita vicino alla posizione di quel router?????
mi seve qualcosa oltre al solo indirizzo IP????

xfarore risp
grazie 1000

L’upload di un file su cartelle con permessi abilitati su servers Microsoft… uhmmm, basta sapere qual’è il codice che si occupa di effettuare l’upload del file e tramite un editore live html creare al volo un form (basta firebug), carichi il file asp e tramite l’oggetto FileSystemObject utilizzato con comandi opportuni fai quello che vuoi, non occorre fare tutti sti giri per caricare un file asp sulla cartella con i permessi (in questo caso public).

Ovviamente IIS deve essere impostato per limitare l’esecuzione degli script nelle cartelle, nella maggiorparte dei siti creati con ASP questa limitazione viene omessa perchè la stragrande maggiorparte degli hosters non prevede la modifica delle impostazioni di IIS da parte del fruitore del servizio. Quindi consiglio a tutti un bel passaggio a PHP.

Breve vita a Bill! Bellaaaa……..Ciauz ::))

Bella, sei mitico.
Sarebbe bello avere una conoscenza dell’informatica come la tua, bucare un sito web non è facile complimenti !!
” Puoi fermarne uno ma non tutti… del resto siamo tutti uguali “

Bè direi ke quel ke hai fatto nn è del tutto legale, tuttavia hai permesso al costruttore del sito di poter riparare all’errore che ha fatto nella costruzione.
Mi chiedo pekè usi winzoz… mà, cmq 6 stato bravo a “bucare” il sito e chiamare il tipo.
Però hai riskiato… se il tipo ti sganciava una denuncia eri fottuto, anke se sarebbe stato un pò bastardo.
Bè nn so ke altro dire ;) Ciauz

Anch’io ho appena trovato questo articolo con Google :P

Molto bello… volevo sapere se (dopo circa 2 anni) hanno corretto tutti i siti o no, riguardo a questa vulnerabilità

ciao io sono un appassionato di pc ma ho un problema..vorrei imparare a fare l’hacker e nn il lamer nel senso che se è vero che tutti sono capaci di fare la merdina di .bat che lo esegui dall’autoestraente di win rar per magari piazzarci un trojan risedente su internet tramite wget etc etc ……be nn è una cosa molto edificante…..anzi…quello che ti volevo chiedere a te………..be…..a lei visto che per me lei è un semidio!!!!!!è se puo,se trova tempo,se vuole,se le avanza un secondo di vita se nn ha nulla da fare…se nn so….mi sto agitando…..se puo insegnarmi (lo so che è una parolaccia e lei ha gia cancellato tutto) l’arte della programmazione applicata (hacking se vogliamo chiamarla male anche se a me basta capire i processi logico razionali che applica perla scoperta di bugg e la conoscenza applicata del linguaggio di programmazione da lei usato…..delle basi a livello teorico le ho………..) so che a lei nn interessa un fico secco di me e mi dispiace di averle tolto tanto temtpo per la lettura di sto obrobrio italiano. nel caso decidesse di avere…..be se si puo dire un “alievo” sperando che nn finiamo come pitagora che lo uccise :) puo contatatrmi su msn skype :francescodg1 tracciarmi l’ip exploitare il mio pc anche se ho un router(nn è una sfida) …..altrimenti le auguro tutto il bene del mondo …cordiali saluti…………….

SAlvatore ti invidio………….
Per favore mi pasi quel tool di hackin per fare l’exploit…sn pirzizionissimo@hotmail.it

Ciao Salvatore, i complimeti per il tuo gesto, rispecchiante l’etica Hacker, ti sono dovuti.
Nonostante cìò, ti parlo da avvocato, ed appassionato d’informatica concorda in primis con l’amministratore eventuali testing di sicurezza. Premetto che se la mia rete fosse hackerata da veri hacker, sarebbe per me fonte di approfondimento sulla corretta gestione delle macchine.
A mio modesto parere alcuni di voi denotano ignoranza nel giudicare un’azione, che si giuridicamente perseguibile, ma moralmente encomiabile. Nel giudicare ci dovrebbe essere un minimo di flessibilità, che regoli le nostre scelte di vita.
Non è raro che i fautori di “attacchi”, siano ragazzini, e come persona, che di cose sconcertanti ne vede paracchie, sarebbe restio nel denunciare dei ragazzi solo per soddisfazione personale.
Tengo a precisare che ciò vale per coloro che, come ha fatto Salvatore, vivono seguendo un codice d’onore che a mio avviso nessuna legge può offuscare.

Ciao…innanzitutto ti volevo dire che sei un grande..poi ti volevo chiedere un favore…se puoi se ti lascio la mia mail mi puoi contattare??? io te la lascio..ok? vincy_barry@hotmail.com …che ti devo chiedere un favore…da cui potresti trarre grandi vantaggi anche tu..ok???ti prego fati sentire…..

grazie in anticipo…

Carissimo,

l’articolo e la relativa scoperta (come segnalato sul sito di dBlog) sono state da me realizzate. Nessuna traduzione dell’inglese (fortuna che dBlog è un prodotto italiano!). e poi, prima di parlare mostraci i fatti: dammi il link inesistente di un articolo inglese inesistente da cui avrei copiato questo pezzo.

Fammi il piacere: i soliti lamer che non hanno nulla da fare e si vogliono fare fighetti inserendo comenti stupidi.

B3LL4 SICULO…!
M4 NON 3′ L’UNIKO PR0VID3R !
CMQ F4I B3N3 4 DIVULG4R3 QU3ST3 NOTIZI3…

Vorrei segnalarLe il mio articolo “Bucare un sito? Resoconto dell?attacco ad Affari”, pubblicato nel mio blog all’indirizzohttp://aranzulla.tecnologia.virgilio.it/?p=116, nel quale faccio notare come una web application scritta male può favorire l?attacco ad un sito web oltre che a prendere il pieno controllo del server, così come accaduto con il Gruppo Editoriale Affari ed il suo server.

e tutto un ciak

bel pannello di derivazione…molto ordinato

Caro Salvatore,

sei grande, occorre mostrare a tutti che “hacker” non è sinonimo di criminale ma di persona che pensa con la propria testa e non si ferma alla prima difficoltà,poi una lezione di umiltà ai così detti esperti di informatica fa bene a loro e ai fessi che credono in tutto ciò che dicono.

straquoto Scurippio :)…
Gli hacker non commettono nulla di illegale. Questo e’ un dato di fatto! Richard Stallman e’ un hacker, ma certo non ha fatto nulla di illegale per esserlo.
Diciamo che in questo caso si parla di “Lamer Buono” :)

ciao

Un saluto a tutti, mi inserisco nella discussione per portare -spero- un po’ di chiarezza.

Se il sistema è fallato, va riparata la falla, non c’è storia:
- auto: se la porta non si chiude il problema è della casa produttrice; se la casa mi avvisa e io non metto rimedio, è un problema mio;
- se trovo qualcuno nell’auto e la porta era aperta, si tratta -secondo me- di mancata custodia, se non addirittura di abbandono di un bene -ma bisognerebbe vedere il codice civile e penale per sapere esattamente come si configura la cosa.

-Accesso a sistemi informatici: lo stesso, art.615ter codice penale punisce se entro non autorizzato: quindi effettivamente devo farmi dare un’autorizzazione, anche per testare la sicurezza. Se non me la danno affari loro, almeno li ho avvertiti.

a proposito di “gli hackers non fanno nulla di illegale”, purtroppo non sono d’accordo.

Spesso gli hackers -non cracker lamer e via dicendo- compiono imprese mirabolanti, che -codice alla mano- sono letteralmente illegali. Che poi la legge non tenga conto o non preveda certi comportamenti “di studio”, non toglie l’illegalità, cioè andare contro la legge _attuale_. La legge si può anche cambiare, ma se per legge è vietato mettersi un maglione fucsia, se esco col maglione fluo fucsia perché sta bene con le scarpe fluo verdi è illegale.

Ciò detto:
1. complimenti a Salvatore per la sua opera di divulgazione;
2. cerca di essere più cauto e di tutelarti legalmente quando compi imprese del genere: assicurati di aver avvisato i titolari dei sistemi che testi;
3. una tirata d’orecchi a quanti pensano che la sicurezza venga dalla non conoscenza. Pensate alla SARS e a quanti se la son pigliata perché in Cina non se ne doveva parlare…

Ciao Salvo, anche se non ti conosco, riconosco che hai fatto un ottimo lavoro. Quando l’hacking è fatto a fin di bene, sta bene. Bravo!

bhhahahaha
ma datti all’ippica giuro!

Vo seccato con l’ultimo messaggio???
Manco una risposta…
Bordone

Scusa Salvatore non e’ per dire, ma di tutto il post a parte le bellissime (!?!) schermate del “Salvatore Aranzulla’s Tools for hacking” non c’e’ scritto:
1) quale fosse la vulnerabilita’
2) quale fosse un eventuale rimedio

che a parere mio e’ molto piu’ interessate del “Salvatore Aranzulla’s sticazzi”. no?

Per “thepower”, n. 46

Non continuiamo a confondere le carte in tavola…
Se io ho la macchina (o il sito) poco protetta, la colpa NON è mia se qualcuno ci entra. Posso essere ingenuo, sprovveduto, pirla, stolto, ma la colpa di una intrusione E’ e RIMANE di chi entra abusivamente in proprietà altrui.
E qui non parliamo di opinioni. Questi sono fatti.

Inutile continuare a chiacchierare esaltando chi fa il figo. Entrare in proprietà altrui è un abuso ed un reato, ed è colpa di chi lo commette, non di chi ha la serratura debole.

Il confondere queto elementare principio di codice civile è fenomeno tipicamente italiano del “mettilo nel culo a chiunque appena puoi”, tanto si è distratto e quindi cavoli suoi.
Complimenti davvero al senso civile…
Ripeto, thepower: posso anche avere la macchina aperta con la serratura vecchia, ma se ti ci trovo dentro senza il mio permesso ti tronco di botte…
E se mi dici che l’hai trovata aperta e per questo ti senti autorizzato ad entrarci, te ne do’ il doppio!

La legalità su internet è infatti così diffusa…

Premesso che talvolta si potrebbe essere anche un po’ elastici, dalla tua risposta direi che a questo punto Salvatore ha fatto male a segnalare e non fare nulla, doveva stare in silenzio e devastare tutto il server in questione vendicandosi pure con colui che ha innescato il tutto… Così i 151 siti appoggiati in co-hosting a quel server sarebbero stati devastati, lui non l’avrebbero mai beccato perchè ti assicuro che se uno vuole non si fa certo beccare e i gestori dei 151 siti starebbero ancora a cercare qualcuno da denunciare… Vorrei segnalare tra l’altro che questo forum non l’ho scoperto per caso, ma sono stato indirizzato da una nota mailing list ed ho trovato quanto riportato da Salvatore alquanto interesante ed istruttivo…
Bordone
P.s:Ah qualora avessi dubbi su quanto detto riguardo all’impossibilità di beccare qualcuno che entra illegamente in un server vorrei farti notare che se lui non pubblicava quanto fatto o comunque non segnalava la falla al gestore, il gestore non si sarebbe accorto di nulla… Il che non è propriamente una cosa trascurabile dato che la violazione di un server non è sempre mirata al danneggiamento di quest’ultimo, ma spesso al semplice ottenimento di dati personali… Non sarebbe un danno ancora più grave di un defacement o di una perdita di dati se dei cracker violassero il server di una banca e non facessero altro che acquisire i codici di accesso dei vari clienti per eseguire operazioni bancarie online???

Stefano scrive:
10 Giugno 2005 alle 15:04

Forse non avete capito?. non sono un amministratore! Sono una persona qualunque che da qualche anno usa internet e ne è entusiasta. Avevo fatto un mio blog per usarlo come diario per me e per i miei amici.
Perché mai chiunque usi un blog deve essere un amministratore? Non ha forse il diritto anche una casalinga ad avere il suo blog per tenere le ricette di cucina? E secondo voi deve avere conoscenze di sql, asp etc solo per gestire le sue ricette?

E giusto affermare che non deve essere necessario essere un sistemista per avere un proprio blog, perché i non esperti devono poter usufruire dei servizi messi a disposizione e garantiti dagli esperti. Ma ritenere di avere il diritto di gestire il proprio server on-line senza essere un sistemista rifiutando di assumersi la responsabilità che questo comporta è un atteggiamento di notevole arroganza. È come pretendere di avere il diritto di far girare sulle strade automobili autocostruite senza essere un ingegnere meccanico e non volere sentire parlare delle responsabilità connesse ai problemi che queste possono causare alla circolazione o alla sicurezza della strada dovuti ai loro difetti di progettazione e/o costruzione. Difetti colpevoli, poi, che magari erano noti agli ingegneri meccanici dall’agosto 2004 .
Che piaccia o meno, poi, rammento che ci sono dei precisi obblighi di legge per chiunque gestisca dei server aperti su internet (trattamento dei dati, trattenimento dei log di sistema ecc.). Bello il fai da té, certo, ma la responsabilità non è un optional.

Te la vedi tu mia cugina che ha il blog per i pettegolezzi con le sue amiche a studiarsi come funzionano queste cose? E? già tanto se riesce ad installare un blog?
Non si tratta di essere addormentati? tra un paio di generazioni il 100% delle persone userà il computer, internet e probabilmente avrà un proprio blog? mica potranno essere tutti informatici!!! Molti lasceranno il compito ai programmatori di migliorare il proprio software, magari facendo in modo che si autoaggiorni, come già succede adesso in alcuni casi?

E proprio questo il problema ci sono sistemi
operativi che ti danno la falsa illusione di
semplicita e di sicurezza,tua “cugina” pensa
“anche i cani hanno un blog lo faccio anchio”
clicco qui’ clicco la’ e vai…..poi pero’
sorgono i problemi (virus,worm,trojan,lamerozzi ecc,ecc).Certo “dovrebbe” essere facile(come dice guglielmino cancelli)ma non e cosi’!
E poi per i “programmatori” e un’altro discorso,ne’ conosco uno a cui ho chiesto quanti sistemi operativi conosce e lui mi ha risposto 4, Win 98-win ME-win 2000 e Icspi’e il bello e che alcune persone gli lasciano gestire i propri PC!E ti posso assicurare che non e una leggenda metropolitana.
Comunque usare un computer NON e facile,io sono
un normalissimo operaio con la passione dell’informatica,uso per navigare Linux Slackware,per “mastruzzare”Open-BSD e per console di giochi Win 98 e l’unica cosa, per mia esperienza che ti posso dire, e che Win$ e perfetto per giocare e basta!
E come dice salvatore :
“ma i programmatori dovrebbero sbatter(si) un po? su”
Byezzz tribale!!
P.S. Discussione carina

Purtroppo nelle varie discussioni si dimentica sempre un dato di fatto: che esistono delle leggi e che, ci piacciano o no, vanno rispettate.

Quindi, per quanto mi riguarda, un plauso a Salvatore per come si è comportato ma resta altresi vero che il giusto comportamente corretto è quello che è stato detto da Ivo, ossia, andava contattato prima il gestore del server e operato un security report solo e soltanto dopo l’autorizzazione del gestore. Questo se ci vogliamo basare sulla legge italiana, se poi vogliamo parlare del sesso degli angeli, abbiamo ragione tutti.

Anche a me è capitato di essere avvertito di bug sul mio sito e non sono ovviamente andato a denunciare nessuno ma sono corso ai ripari, ma cio non significa che a qualcuno non possa scocciare e comportarsi in modo differente.

Se comunque siete interessati a altre analisi di attacco, questa volta dal lato dell’attaccato, vi posto due link “personali”

http://www.ebruni.it/pp/intrusion_report/20041226.htm

http://www.ebruni.it/pp/intrusion_report/20041205.htm

Te la vedi tu mia cugina che ha il blog per i pettegolezzi con le sue amiche a studiarsi come funzionano queste cose? E’ già tanto se riesce ad installare un blog…
Non si tratta di essere addormentati… tra un paio di generazioni il 100% delle persone userà il computer, internet e probabilmente avrà un proprio blog… mica potranno essere tutti informatici!!! Molti lasceranno il compito ai programmatori di migliorare il proprio software, magari facendo in modo che si autoaggiorni, come già succede adesso in alcuni casi…

Cambia sistema operativo se hai intenzione di avere a che fare con queste cose.

PS: vorrei anche aggiungere che in 3 mesi il mio blog era sempre perfettamente funzionante… per una stranissima combinazione dopo 3/4 giorni dalla pubblicazione di questo exploit passo-passo sul sito di Salvatore sono stati eliminati parecchi file, modificate fotografie e altre spiacevoli cose… e non mi dite che ci voleva un esperto per fare questa cosa, perché dopo aver trovato il danno ho cercato e trovato questa pagina e ho provato io stesso ad entrare nel mio sito in maniera abusiva copiando la query sql che c’era sull’immagine che ora è stata offuscata. Se ce l’ho fatta io che a mala pena so cosa sia una query sql ce la può fare un qualunque bambino dai 3 anni in su, e anche qualche vecchietto arzillo probabilmente!
Certo non posso affermarlo con sicurezza, ma è probabile che qualcuno abbia pensato di divertirsi seguendo proprio la spiegazione di Salvatore. Divertimento che a me è costato caro… anche se non sono una banca!

..mi riferisco ai commenti di STEFANO..carissimo STEFANO il concetto gira e rigira è sempre lo stesso se non sei capace di gestire una determinata situazione non puoi permetterti di additare qualcun altro..nella fattispecie il ns SALVATORE?.da quello che scrivi si evince facilmente che sei una persona che se la cavicchia in quello che fa?.ma non sei assolutamente in grado di fortificare quello che hai?.a maggior ragione ciò si evince dal fatto che sei stato fregato?e diciamocela tutta LA COSA TI RODE!!!

Quoto in pieno…..Incompetenza al massimo livello e poi vogliono aver ragione,certi cosidetti amministratori sono solo braccia rubate all’agricoltura(con tutto il rispetto)!
Mi ricorda un po’ il buon Guglielmino cancelli,
volete truffarci e lo fate,ma quando cerchiamo
di capire,ci condannate!!! Mahh
Open your mind use Open Source

A Stefano vorrei esprimere la mia solidarieta’… dev’essere veramente terribile vedere vanificati i propri sforzi.
Ma, permettimi, dovresti fare anche autocritica: scrivere “Ora chissà quanti ignari come me si ritroveranno il sito distrutto o rovinato per colpa tua!” non è corretto. Chi ti ha rovinato il sito poteva trovare le informazioni in qualunque altro posto (e non è detto che le abbia trovate proprio in qs. sito): purtroppo hai commesso un paio di leggerezze che ti sono costate -troppo- care. Non aver fatto Backup frequente dei dati e non aver aggiornato il software. Un crash del sistema con danneggiamento del Hard disk (non sto gufando :-)) ) avrebbe prodotto gli stessi effetti.
Io lavoro in ambiente bancario, nel quale integrita’ dei dati e sicurezza sono VITALI, e ti assicuro che con un comportamento come il tuo avremmo pagato una penale mostruosa.
Il fatto di nascondere falle e vulnerabilita’ crea una “impressione” di sicurezza, a lungo termine molto piu’ pericolosa della falla stessa.
Chi ha interesse ad entrare nelle punto sara’ il primo ad informarsi se col cacciavite funziona: l’unica vera soluzione e’ che tutti i proprietari della punto sappiano del problema e cambino la serratura. D’altra parte se tutti fossero onesti non servirebbero nemmeno le serrature…
Purtroppo questo fa parte del gioco: nessuno è obbligato a pubblicare su internet, ma se si decide di farlo le condizioni sono queste. Che piaccia o no.
A Salvatore mi permetto di raccomandare di pubblicare lo stretto necessario per spiegare il problema.
Buona giornata a tutti.

Roberto.

Perfetto Andrea, allora secondo quanto dici non c’è differenza tra un ladro che scassina una serratura da milioni e una persona qualsiasi che apre una porta appena chiusa.
Sembra che tu sia d’accordo con la legge che multa chi lascia le chiavi in macchina perché istiga al furto (vera)…
Io direi che anche se la macchina è aperta tu non dovresti entrarci. E la volta che ci entri non vedo differenza se hai fatto tanto o poco lavoro. Semplicemente non dovevi essere lì!

Sinceramente io forse sarei entrato, primo perché non sono del ramo e troverei divertente scassinare un sito (fa sentirsi più intelligenti scassinare le protezioni messe da altri e non l’ho mai fatto: mi sentirei un mago da film!) e poi perché sono un maledetto curioso.
Di certo sarei stato consapevole che non stavo facendo una cosa ben fatta, non avevo il diritto di farla solo perché la falla era stata segnalata e avrei evitato di vantarmene ben bene in giro, segnalando solo il problema a chi di dovere e chiedendo scusa… In questo sono pienamente d’accordo con Dionisio.

E comunque, se mi compro una punto senza serratura e ti ci trovo dentro, ti riempio di botte… ;-)

insomma un lavoro da manuale

basta cercare su google….nome programma exploits….e poi basta leggere….
magari ci si scarica una copia del programma…si testa in locale…e poi…..

ci sono siti con interi corsi sul SQLinjection!
Ed altre tecniche per attaccare un servizio

qualche anno fa passavo i mesi a leggere e provare

Ora preferisco la figa!!!!!!!!!!

Ciao Salvatore,

no, ho letto bene e so che non è una cosa nuova.
Tuttavvia se è vero come tu dici che
“L?interesse del proprietario deve essere quello di rafforzare la porta, non di cercare di _nascondere_ che da questa si può entrare!!”
è anche vero che se la porta della fiat punto si potesse aprire con un cacciavite e questa notizia apparisse su tutti i giornali di sicuro molte più persone proverebbero ad aprirla con un cacciavite. E se io sono un proprietario di una punto, forse mi girerebbero un po’, anche se la colpa non dovrebbe essere imputabile a te che hai diffuso la notizia ma alla casa costruttrice che ha fatto una serratura insicura.
E’ un po’ come avere le planimetrie di una base: il tenerle segrete non la fa più sicura, il diffonderle ma renderla invulnerabile e permettere a tutti di sapere come proteggersi, sì.
A quanto so e vedo è un po’ la differenza tra Linux e Windows.

Insomma, io al tuo posto avrei fatto lo stesso. Forse non avrei pubblicato la notizia con lo step-by-step, tutto qui. Se non altro per non contribuire al clima di “insicurezza” che esiste nella rete. Se sei una persona in gamba (e lo sembri), questo ti richiede responsabilità nei tuoi gesti, non tutti li possono prendere nel modo che tu vorresti.
Comunque hai gettato un sasso nello stagno, agitare le acque non è poi brutta cosa…

hmmmm…..
da esclusivo fruitore del mezzo informatico (purtroppo non smanetto col pc come potrei fare con un motore), sono partito a leggere ridendo e pian piano mi sono atapirato…
Beh, in quello che dice Stefano c’è del vero, anche se dubito che “chiunque” possa fare quello che ha fatto Salvatore. E chi è in grado di farlo dubito che abbia bisogno di questa storia.
Non sei da denuncia, però la prossima volta magari rifletti di più sulla divulgazione delle notizie. In fondo la posta in gioco è sempre alta, e magari non sei tu a pagarne il prezzo…

Ciao

bene o no, l’importante è che hai avvertito il tizio che gestisce il server…

tempo fa anche io ho trovato una vulnerabilità in un sito web, una vulnerabilità non di natura tecnica ma di imbecillità dei programmatori della ditta che realizzò quel sito…

ho avuto accesso al pannello di amministrazione di alcune funzionalità del sito inserendo
ADMIN e ADMIN sia per password che username…!!!!

bene tale genialata è presente sul sito della ditta per alcune funzionalità…e su tutti i siti prodotti da quest’ultima!!!!

Ho avvertito un tipo che gestiva la cosa….3 mesi fa….bhe’ è tutto cosi’ com’era…

P.S.
Da SysAdmin professionista sono ben felice di collaborare con persone che hanno voglia di svolgere l’indagine che ha svolto Salvatore; ma è essenziale che li autorizzi io a farlo altrimenti non ho modo di distinguerli da chi lo fa per altri motivi e che, semmai, non ha fatto danni solo perche’ non ne ha avuto il tempo o non ne e’ stato capace.

Rispondo per via ufficiale (permettetemi questa frase: avevo un po’ di tempo che volevo usarla, ma non ne avevo avuto l’opportunità :-)) un po’ alle critiche sul rilascio di informazioni discretamente dettagliate.

Se io vedo una porta dalla quale è possibile entrare e capisco come, dopo aver avvertito il proprietario, perché nascondere agli altri la possibilità di entrarvi? L’interesse del proprietario deve essere quello di rafforzare la porta, non di cercare di _nascondere_ che da questa si può entrare!!

Salvatore Aranzulla

Wow complimenti Salvatore anche se ti sei comportato illegalmente… hai avuto fortuna che “francesco” è stato molto gentile (vabbè non poteva negare l’evidenza ma una denuncia te la poteva fare)… cmq bravo bravo bravo ;D

X Ivo: magari ce ne fossero di persone come lui che dopo ti avvisano della falla! Lascia stare che ha usato uno “script kid da sala giochi”… ha avvertito “francesco” della falla? Ha fatto la cosa più giusta! Se ero io l’amministratore di quel provider lo pagavo perchè ha scoperto una falla gravissima che chiunque con un “scherzo da ragazzi” poteva cancellare o creare file… e te lo dice un programmatore dell’università di Napoli…

Ciao a tutti… Grande Salvatore!

.ExE.

Complimenti Salvatore,
nel trovare la falla e nell’esserti comportato da vero galantuomo.
Continua così!!!
Ti auguro tanta fortuna e felicità.
Ciao !

oggi dopo avere letto questa storiella abbiamo dato un nuovo significato alla parola “imbarazzante”.

Ciao sono Nazzareno di Notrace, grazie della frase “apro il mio fido Notrace.it” Ho visto che hai usato tecniche di sql injection per l’attacco. Ti sconsiglio di continuare con queste cose quello che hai fatto è un reato sei stato fortunato che abbiano accolto positivamente la tua segnalazione potevano denunciarti.
____
art. 615-ter. -(accesso abusivo a un sistema informatico o telematico).- Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha diritto di escluderlo, è punito con la reclusione fino a tre anni

Peccato che usi windows!

Grande, sei proprio un vero hacker!! Altro che Raoul Chiesa….

Ma perfavore…

Sarei lieto se tu potessi verificare se anche il mio sito è vulnerabile come quello che hai descritto…
Nel caso tu abbia una PostePay ti farei pervenire immediatamente il compenso.
Contattami pure per tutte le info che ti servono.
P.S.: prova, se hai tempo, a dare un occhio su http://www.fabrispozzi.it/listino e dimmi cosa ne pensi sull’idea di file orientati a essere letti agevolmente sui palmari (il mio l’ho provato ad es. su un Nokia 9500 e va a razzo!).
Bravo.
Ciao
Livio Fabris

grande!!! grande!!!

Strano che un esperto come te tenga ancora l’opzione di Windows “nascondi le estensioni per i file conosciuti”…

Non male…bravo…:D

Complimenti, ti sei comportato da vero “hacker”!
Spero che ora le persona capiscano la differenza tra hacker e lamer,
ciao

Bella salvo!