PD, bucabile il sito del partito?

Lo sostiene un esperto di sicurezza, secondo cui sono rilevabili in chiaro le password usate sul portale del Partito Democratico

Roma - Il sito del Partito Democratico potrebbe essere a rischio sicurezza. Lo sostiene l'esperto di sicurezza e blogger Roberto Scaccia, secondo cui una errata configurazione della piattaforma usata dal portale consente di accedere a dati riservati.

In particolare, spiega Scaccia a PI, con alcune "semplici operazioni" è "possibile risalire alle credenziali in chiaro per l'accesso al DB Server del sito".

Sul suo blog l'esperto di sicurezza pubblica un breve summary del problema e due schermate esplicative.
Risolvere il problema non dovrebbe comunque richiedere molto tempo agli admin del sito.
12 Commenti alla Notizia PD, bucabile il sito del partito?
Ordina
  • Ho controllato in questo istante e mi sembra che abbiano sistemato i problemi più evidenti. Almeno sono stati efficienti nella risoluzione del problema. Speriamo fosse una regressione.
    non+autenticato
  • Mica tanto, basta usare una banale riga XSS
    non+autenticato
  • - Scritto da: hukio
    > Ho controllato in questo istante e mi sembra che
    > abbiano sistemato i problemi più evidenti. Almeno
    > sono stati efficienti nella risoluzione del
    > problema. Speriamo fosse una
    > regressione.

    non è mettendo un tappo alle falle più grosse che sistemi un progetto fallato di progettazione;

    hai provato a mettere la stringa in maiuscolo?
    l'autore di quegli ammassi di codice è famoso per essere un pessimo spaghetti-coder, nella maggiorparte delle baracconate messe in piedi da cotal Genio® si accede al db (e a volte a tutta la macchina) solo con una riga nel browser...

    bah e meglio che lascio perdere altri commenti sul caso va Arrabbiato Triste
  • E' bucabile anche il sito di 187 Telecom Italia.
    E' possibile richiedere il cambio dei dati personali e variare le opzioni di pubblicazione negli elenchi telefonici senza essere accreditati a farlo.
    Li ho contattati già un paio di volte ma non mi hanno degnato di una risposta.
    Se continuano così, manderò l'exploit a PI...Triste

    Nicola
    -----------------------------------------------------------
    Modificato dall' autore il 21 febbraio 2008 10.05
    -----------------------------------------------------------
  • - Scritto da: ottomano
    > E' bucabile anche il sito di 187 Telecom Italia.
    > E' possibile richiedere il cambio dei dati
    > personali e variare le opzioni di pubblicazione
    > negli elenchi telefonici senza essere accreditati
    > a
    > farlo.

    Quasi quasi, visto che sono due volte che chiedo di essere rimosso dall’elenco e continuo a riapparire, ne approfitto per farlo da solo.
    Teo_
    2580
  • - Scritto da: Teo_
    > - Scritto da: ottomano
    > > E' bucabile anche il sito di 187 Telecom
    > Italia.
    >
    > > E' possibile richiedere il cambio dei dati
    > > personali e variare le opzioni di pubblicazione
    > > negli elenchi telefonici senza essere
    > accreditati
    > > a
    > > farlo.
    >
    > Quasi quasi, visto che sono due volte che chiedo
    > di essere rimosso dall’elenco e continuo a
    > riapparire, ne approfitto per farlo da
    > solo.

    lol,
    "187 g33k powered!"
    Pirata
  • Lo avete già segnalato (magari con una pernacchia) a chi lo ha realizzato?
    http://www.dol.it
    Teo_
    2580
  • - Scritto da: Teo_
    > Lo avete già segnalato (magari con una
    > pernacchia) a chi lo ha
    > realizzato?
    > http://www.dol.it

    Ma perche' invece non aggiungere 2 banner di parlamento pulito e beppegrillo ? Rotola dal ridereRotola dal ridere
    krane
    22544
  • - Scritto da: krane
    > - Scritto da: Teo_
    > > Lo avete già segnalato (magari con una
    > > pernacchia) a chi lo ha
    > > realizzato?
    > > http://www.dol.it
    >
    > Ma perche' invece non aggiungere 2 banner di
    > parlamento pulito e beppegrillo ?
    > Rotola dal ridereRotola dal ridere

    Per quanto riguarda il "parlamento pulito" se non ricordo male, il PD ha fatto propria la questione non candidando chi non è incensurato o ha procedimenti penali pendenti.
    Ma chiedo a chi ne sa più di me di specificare meglio, perché era una notizia che avevo sentito distrattamente (la politica mi ha nauseata da un bel po').
    non+autenticato
  • Se vai a vedere nel post del Blog ci sono i riferimenti per altri POST in cui venivano segnalati altri siti sempre della stessa società con gli stessi problemi Triste
    non+autenticato
  • - Scritto da: rip
    > Se vai a vedere nel post del Blog ci sono i
    > riferimenti per altri POST in cui venivano
    > segnalati altri siti sempre della stessa società
    > con gli stessi problemi
    > Triste

    Beh se fanno le cose con i piedi, le faranno sempre.

    E come al solito si lavora non con la qualità, ma con le conoscenze, altrimenti questi qui avrebbero chiuso da un bel po'.

    E poi ci si lamenta dell'ICT italiano affossato.
    non+autenticato
  • - Scritto da: Miss K Lorina

    > E poi ci si lamenta dell'ICT italiano affossato.

    Certo che anche non andando proprio sul tecnico...

    http://www.dol.it/pressroom/veltroniroma.asp

    Nel titolo e nell'articolo si parla di 4 milioni. Sull'immagine c'è scritto tre milioni.

    Non è un errore gravissimo, ma accidenti, hai fatto tu quel sito, dovresti ricordarti che cosa ci hai scritto dentro, no? Pensare che stavo solo guardando in giro e notando la semplicità e l'impatto piacevole della grafica, ma quell'errore l'ho notato immediatamente. Secondo me non è una bella pubblicità e probabilmente non sono il primo a notarlo.