Anche se il problema Sql Injection sembrava passato, all'interno del forum se ne è tornato a parlare a seguito di un articolo pubblicato in giro per la rete, che tanto acclamava la "fantasmagorica" scoperta di una query di aspnuke forzabile attraverso l'injection.

Problemi quali l'injection sono comuni in tutti i sistemi con database che utilizzano SQL, quindi niente di nuovo, apparte tanto disappunto nei confronti di chi scopre "l'acqua calda" e piuttosto di rivolgersi allo staff preferisce compromettere la sicurezza di tutta la community.

Vorrei pertanto ribadire che: Nel caso qualcuno trovasse delle altre query da cui è possibile accedere ad i siti aspnuke è pregato di segnalarlo allo staff.
In download troverete la patch aggiornata che evita l'intrusione esterna da parte di query sui vostri database.

Mi raccomando ricordate che AspNuke è di tutti non solo di chi ci lavora dietro...

9 Commenti - 3,7/5 - Voti : 3

Inserito il 31 maggio 2004 alle 20:52:18 da ippocampo.     Pienamente daccordo con Anna! Ma dico, hai scoperto il buco, (ti ringraziamo per la scoperta ovviamente) lo hai sbandierato e non hai nemmeno provveduto a informare su come proteggersi! Bho!

Inserito il 31 maggio 2004 alle 20:54:03 da mirabilweb.     Ciao Anna, da quanto leggo ti riferisci a me e alla vulnerabilità da me scoperta e segnalata nel sito di sicurezza Zone-h.it, in cui io collaboro. Mi sembra giusto informare gli utenti sui bug di sicurezza che ASP-Nuke ha. Poi sul fatto che dei lamer utilizzino i miei exploit non ho controllo e nn posso fare nulla. Mi spiace per l'accaduto ad ASP-Nuke.it, informando tutta la community di ASP-Nuke che per i nuovi bug che scoprirò essi verranno segnalati prima allo staff di ASP-Nuke e in seguito (una quindicina di giorni più tardi) in siti sicurezza informatica. A tal proposito invito gli utenti di ASP-Nuke a tenere d'occhio il mio sito personale (http://salvatore-aranzulla.splinder.it). Salvatore Aranzulla (mirabilweb) Programmatore, tecnico e divulgatore informatico.

Inserito il 01 giugno 2004 alle 10:25:04 da Anonimo.     e vai con lo spamm

Inserito il 03 giugno 2004 alle 12:31:50 da djveleno.     Carissimo Salvatore, sono anni che bazzico il mondo warez, e non sono daccordo sul fatto di pubblicare exploit di nessun tipo, salvo il pubblicare articoli che non contengano codice potenzialmente dannoso, ma, solo ricerca, al fine di rinforzare la sicurezza dei server web, detto questo, mi sembra chiaro che, AspNuke, secondo qualcuno ha dei bug, e questo lo avevamo già scritto alla prima pubblicazione della security patch, ma, ribadisco il concetto di SqlInjection, questo codice, è scritto per bypassare i controlli che SQL effettua sulle query di interrogazione, e, tutti i DB relazionali ne sono affetti, da Access ad Oracle, e, come dovresti sapere, gli script vengono aggiornati tramite delle patch di sicurezza, ogni qualvolta qualche cracker riesce a trovare uno di questi bug ( che pazienza.....), ora, quello che vorrei dirti, e te lo già detto Anna, il creare allarme in una comunità così vasta, come quella AspNuke, che, per la maggior parte degli iscritti è, formata da utenti che non conoscono la programmazione, mi sembra, alquanto sconsiderato, quindi, sei pregato di informare tempestivamente lo staff di AspNuke, che, dopo aver preso i provvedimenti del caso, informerà la comunità, aggiornando le patch. Ciauzz DJ

Inserito il 06 giugno 2004 alle 13:26:10 da Anonimo.     DJ credo che Mirabilweb non debba dar conto a nessuno riguardo la pubblicazione di eventuali Exploit. Credo che il sapere è di tutti. Piu' che altro voi, come staff Aspnuke, andando incontro a questo tipo di rischi, cercate di utilizzare piu' canali per documentarvi. Come si dice... L'ignoranza non giustifica. Se ognuno di noi volesse tener conto di tutte le persone "da avvisare" una volta scoperta una vulnerabilità, non si finirebbe più. Quindi, credo che Mirabilweb, non si affatto "...pregato di informare tempestivamente lo staff di AspNuke...". ByeZzzz...

Inserito il 06 giugno 2004 alle 19:30:26 da Anna.     Purtroppo è facile parlare quando non si è parte in causa... credo che chiunque abbia un sito aspnuke la pensi come me e Dj... Non abbiamo chiesto a tutto il mondo di segnalarci i bug, lo abbiamo chiesto ai nostri stessi utenti, perchè Mirabil posta su questo sito da un bel pò... La correttezza è qualcosa che trascinde dall'essere competenti, o ignoranti... ed il savoir faire quella poi è cosa davvero di pochi...

Inserito il 07 giugno 2004 alle 10:58:19 da peppecast.     Ciao anonimo, intanto sarebbe buon educazione firmarsi giusto per intavolare una discussione civile e sapere con chi si sta parlando. Poi ti vorrei portare un esempio pratico. Se sul tuo sito scoprissero un buco, e lo mettessero a disposizione di tutti per farti bucare saresti contento, nonsarebbe meglio dirtelo solo a te per cercare di riparare al baco? pensaci....magari forse abbiamo ragione, cmq ringrazio mirabilweb per la segnalazione, ma non concordo con lui per la suddetta segnalazione fatta in pubblico.

Inserito il 07 giugno 2004 alle 14:44:58 da djveleno.     Caro Anonimo, credo che tu non abbia letto bene il mio messaggio, e probabilmente conosci poco SQL, altrimenti, scriveresti diversamente, a prescindere da questo, come ha già sottolineato Anna, Mirabil, è iscritto a questa comunità da molto tempo, per cui ci si aspetta che, un nostro user, collabori attivamente, segnalando eventuali problemi riscontrati, e non, pubblicando su di un sito "X" i risultati dei suoi exploit, che tra l'altro sono illegali, se usati a scopi illeciti, anche da terzi, sei considerato correo dalla legge (informati), ecco perchè ho scritto che, forse è meglio pubblicare i risultati, omettendo il codice. Il documentarsi, è corretto, non sono ammesse ammissioni di ignoranza, ma, nel caso specifico, in quale modo ci saremmo documentati? Cercando cosa? Chi conosceva, fino al momento della pubblicazione del post, l'indirizzo a cui fare riferimento, per quel tipo di documentazione? Ciao Anonimo

Inserito il 09 giugno 2004 alle 00:26:44 da bricke.     Sono anni che la rete discute se è giusto o meno pubblicare i bug sul web. Il buon senso suggerisce che è politicamente corretto avvisare la parte in causa prima di pubblicare a tutti. Questo da modo ai programmatori di creare una patch e agli utilizzatori di installarla. Rendere il bug di pubblico dominio è necessario per velocizzare la scrittura della patch e pubblicizzarla, oppure per dare la possibilità agli utenti di correre ai ripari da soli in caso che la patch non venga rilasciata. Per chi si occupa di sicurezza questo appena citato è una regola etica. Chiaramente c'è sempre qualcuno che dell'etica se ne fott..

Login	Anonimo
Messaggio	[b] [i] [u] [s] [url] [img] [cit]
Codice di sicurezza
Vota!	- 1 2 3 4 5 / 5