Autore Topic: Bug sulla gestione dell'area "/admin" e guestbook/blog  (Letto 2755 volte)

serzio

  • Amministratore
  • Utente storico
  • *****
  • Post: 1706
Bug sulla gestione dell'area "/admin" e guestbook/blog
« il: 17 Giugno, 2012, 01:50:49 »
Si tratta di un problema che affligge tutte le versioni sicuramente fino alla 9.1.0.1908 ed i siti ospitati su piattaforma linux. In pratica si tratta di un metodo che permette di aggirare parzialmente la validazione utente/password per l'accesso alle pagine nella directory www.miosito.xx/admin e quindi avere accesso a parte degli strumenti riservati ivi contenuti.
Non ho svolto particolari indagini e mi sono limitato a verificare il problema su una ventina di siti web ospitati su entrambe le piattaforme più diffuse, linux e win, dimostrando che i siti su win, da me testati, non sono affetti dal problema nel 100% dei casi.

Non è opportuno pubblicare i dettagli per diversi motivi, primo dei quali è che non ho fatto sufficienti prove per capire esattamente quale fosse la causa anche se posso immaginare un buon antidoto ed inoltre sforerei su tecniche di programmazione "sporca" (... neanche troppo, comunque) e non voglio che qualcuno possa farsi male inavvertitamente. Voglio solo ricordare che sia l'intrusione in un sistema informatico che la distruzione dei dati contenuti in esso sono reati punibili severamente ... tutto stà a non farsi trovare ...  >:D :lol:

Facendo eccezione e con l'attenuante che si tratta di siti web di test contenenti niente altro che scemenze, pubblico qualche printscreen relativo a tre guestbook trovati qui da noi o sull'answers realizzati con website 9:

[ Guests cannot view attachments ] [ Guests cannot view attachments ] [ Guests cannot view attachments ]