Scoperto un bug su Pc-facile.com
Pubblicato da Alexsandra su Dicembre 10, 2007
Nella sezione Pianeta Hacker di questo blog abbiamo parlato molto spesso di etica e correttezza e, come da titolo, eccovi un esempio di comportamento etico.
Il sito pc-facile.com è stato oggetto di uno studio da parte di un amico hacker che ne ha scoperto una vulnerabilità come da immagine sotto riportata
Se osservate attentamente l’immagine potrete notare come siano state rimosse delle informazioni (hash) che compromettevano la sicurezza del sito stesso, (che e’ una blind sql injection che restituisce user e password dell’Admin), in modo che non si veda la posizione della blind e l’hash dell’admin, inoltre il nostro amico hacker ha comunicato all’amministratore il bugs via email
Cosa strana essendo passato diverso tempo dalla notifica l’Admin non ha ancora patchato (l’email e’ stata spedita gia da parecchio) e non ha neanche risposto all’amico che gli ha reso noto il problema del suo sito.
Possiamo dire che il comportamento adottato dall’hacker sia scorretto? , inoltre al sito in questione non è stato toccato niente, è solo stato fatto un grande piacere al gestore dello stesso, che non si è neanche degnato di rispondere e di prendere le contromisure.
Ma fosse solo questo il problema (rispondere è solo un fatto educativo), il problema più grosso è che non è stato ancora patchato il bugs.
Considerazioni Finali:
Caro Adrien, invece di perdere tempo a notificare copiature di news (peraltro dimostrate infondate) e esprimere giudizi di basso livello su persone che non conosci, o aderire a collaborazioni “pericolose” perché non cerchi di seguire e curare la sicurezza del tuo sito?
Se non riesci a patchare fai un fischio……
Fonte : …… non te la dico 
Dicembre 11, 2007 a 3:22 am
Devo dire che bulding a botnet - bif…. è un tutorial che leggono tutti gli hacker, adesso ho un dubbio, la parola completa è bifrost? sai, non vorrei aver detto una cosa infondata e non dimostrata
Saluti
Dicembre 11, 2007 a 10:02 pm
della serie ….. poche idee e ben confuse.
ho deciso di aprovare questo tuo commento, inserendo IP, Indirizzo email e nome utente nella blacklist la prossima volta usa un indirizzo email valido
Dicembre 14, 2007 a 10:50 pm
Salve a tutti,
stasera riprovero’ a segnalare il bug, non mi va di lasciare le cose a meta’, se non ricevero’ notizie dell’eventuale fix , li lascero’ al loro destino asd.
Dicembre 15, 2007 a 12:16 am
x bla
Quello e’ un tutorial che mi sono salvato per un mio amico, mi ha chiesto se gli cercavo tutorial sulla creazione di un botnet, allora me lo sono salvato per darglielo poi quando si riconnetteva su msn…………………senno che problemi puoi avere?
Dicembre 15, 2007 a 10:38 am
mi sembra più che giusto, oltre al fatto di come hanno risposto al mio post nel loro sito.
L’importante Scream è che manteniamo un comportamento etico, come abbiamo discusso in altra sede, poi ….. male che si vuole non duole.
Lasciamoli pure al loro destino e alla loro arte provocatoria.
ciao e benvenuto
Dicembre 15, 2007 a 3:26 pm
adesso pero’ non voglio passare per uno che sputtana i bug di siti facendoli passare per me*de, con il webmaster di pc facile ho avuto la possibilita’ ieri sera di scambiare delle email con lui, ha patchato il bug e si e’ scusato per “l’inconveniente”, non vorrei magari che fosse attaccata una persona che non conosco……se e’ possibile vorrei rimanere solo una persona che cerca bugs senza che inferisca nelle vostre discussioni……
Alexsandra e’ un piacere averti conosciuta, hai un ottimo blog
Dicembre 16, 2007 a 9:50 pm
@ Scr34M
Tenkiu
… per il resto non ti preoccupare, l’importante è che sia stato fixato, quello che scrivono gli altri lascia il tempo che trova.
ciao
Dicembre 17, 2007 a 4:26 pm
Scr34m nn devi per nulla giustificarti…e anche se l’avessi letta e l’avessi salvata..cavolo ora nn c’è piu nemmeno la liberta di lettura..ognuno puo leggere cio che vuole e soprattutto uno nn puo leggerla per pararsi il cosiddetto c**o …difendersi?? alla fine sapere bene le tecniche di attacco e sviluppoi dei cracker è il primo passo per difendersio percio lascia perdere i suddetti ca**oni che parlano cosi solo ed esclusivamente per invidia xche loro manco sanno quale sia il vero significato della parola HACKER..alle volte si tralascia il fatto che uno dei tanti valori che deve rispettare ed avere un hacker è l’umilta ma soprattutto la capacita di autoanalizzarsi non giudicare l’operato degli altri..come si fa a giudicare una persona quando in questo mondo (dell’info e dell’hacking) non si potra mai dire di essere al 100% con la conoscenza..questo mondo si evolve giorno dopo giorno percio, PENSIAMO PRIMA A MIGLIORARE NOI STESSI SVILUPPANDO AL MASSIMO LE NOSTRE CONOSCENZE E FACCIAMOCI I CAZZI NOSTRI RIGUARDO A GLI ALTRI CHE SI FANNO IL C**O COME UNA SCIMMIA PER MIGLIORARSI !
PASSO E CHIUDO!