powered by
Tophost
Home
Forum
Regolamento
Help
Login
Registrati
Statistiche
Utenti
Utenti Totali: 1707
Ultimo utente:
xal
Statistiche
Posts Totali: 29470
Topics Totali: 3404
Online Oggi: 51
Presenze Massime Online: 559
(23 Luglio 2008, 14:24:28)
Utenti Online
Utenti: 0
Visitatori: 46
Totale: 46
Siti amici
PROZONE
>
Forum
>
Zona Operativa
>
Sicurezza
> Topic:
Http://www.prozone.it Vulnerabile Occhio
Pagine: [
1
]
2
3
« precedente
successivo »
Autore
Topic: Http://www.prozone.it Vulnerabile Occhio (Letto 8479 volte)
effe8
Coordinatore
Posts: 837
Http://www.prozone.it Vulnerabile Occhio
«
il:
10 Marzo 2007, 23:24:54 »
Salve Qui si parla di sicurezza ...!! molto interessante
ma prima di parlare di sicurezza cercate di rendere questo forum Sicuro ve pare!!...
logicamente chi stà utilizando ID dell admin non è L ' Admin
Ma sono capitato qui per caso e non ho voluto defaciare il sito come avrebbe fatto chiunque stronzo
Signior :oops: Admin lol Devi pachare il forum e anche il portale entrabbi vulnerabili.
Guarda adesso avrei anche potuto scaricarmi il database giusto
e ci sono 1800 utenti con tutti le loro rispettive pasword In Mad5
logicamente molti di questi utenti utilizano la stessa password per le loro email loro siti ecc Insomma un disastro :-)
Vabbene con questo Ho voluto solo avvisarti della cosa ma credo sapevi questo o No?
Ripeto sistema la cosa inquando puo capitare qualcuno con altre idee :-)
Vi saluto tutti
ITalianFAmily
Loggato
Benvenuti in Prozone un forum tecnico sul mondo del web
lacellula
Moderatore
Posts: 1 138
Http://www.prozone.it Vulnerabile Occhio
«
Risposta #1 il:
11 Marzo 2007, 00:55:22 »
Almeno, per questo attacco, ci hanno risparmiato l'odiato avatar in favore di un più simpatico asinello!
Comunque concordo... Si dovrebbe mettere una bella toppa al forum ed al portale... Che ne dite di passare a PHPNuke? (sono ironico ovviamente)
PS: non è che ci fai molto con la password in MD5
Loggato
Guide programmazione
step76
Utente Attivo
Posts: 272
Http://www.prozone.it Vulnerabile Occhio
«
Risposta #2 il:
11 Marzo 2007, 01:33:31 »
Citazione
Comunque concordo... Si dovrebbe mettere una bella toppa al forum ed al portale... Che ne dite di passare a PHPNuke? (sono ironico ovviamente)
PS: non è che ci fai molto con la password in MD5
Questo ennesimo attacco dimostra ancora una volta che questo forum va assolutamente patchato quanto prima.
Per quanto riguardo l'MD5 è ormai assodato che sia un algoritmo crackabile e per quanto riguarda la crittografia forte viene paragonato al CRC32, praticamente una ciofeca. Quindi il rischio che le password siano esposte è reale.
«
Ultima modifica: 11 Marzo 2007, 01:34:13 da step76
»
Loggato
Diavolo_Rosso
Utente Avanzato
Posts: 816
Http://www.prozone.it Vulnerabile Occhio
«
Risposta #3 il:
11 Marzo 2007, 01:54:05 »
Citazione
non è che ci fai molto con la password in MD5
un bel brute force? :rolleyes:
Loggato
Psycotic.it
lacellula
Moderatore
Posts: 1 138
Http://www.prozone.it Vulnerabile Occhio
«
Risposta #4 il:
11 Marzo 2007, 09:45:54 »
Sapevo che MD5 aveva qualche falla dovuta, più che altro, al tipo di codifica ma da qui a fare un brute force su 2000 password...
Comunque sto preparando la carta intestata per il comitato "Upgrade Prozone"... quota di iscrizione gratuita.
Edit: Avevo scritto TopHost al posto di Prozone... Rimbecillimento mattutino, scusate
«
Ultima modifica: 11 Marzo 2007, 10:53:12 da lacellula
»
Loggato
Guide programmazione
step76
Utente Attivo
Posts: 272
Http://www.prozone.it Vulnerabile Occhio
«
Risposta #5 il:
11 Marzo 2007, 10:59:14 »
Citazione
Sapevo che MD5 aveva qualche falla dovuta, più che altro, al tipo di codifica ma da qui a fare un brute force su 2000 password...
Non è obbligatorio fare il brute force, la debolezza più grande di MD5 consiste nella grande facilità con cui si possono creare delle collisioni.
Esempio:
Poniamo che TIZIO si iscriva a due forum X e Y con lo stesso user PIPPO e la stessa password 1234. Poniamo che entrambe i forum usino MD5.
Se io riesco ad ottenere la password MD5 del sito X potrei ottenere una collisione da utilizzare sul sito Y
senza
aver bisogno di conoscere la password originale.
Per qualunque cosa vi sconsiglio sempre di usare MD5 o algoritmi di hash a 128bit che con l'attuale codifica sono facilmente soggetti a collisioni.
Aggiungo che questi pseudo hacker che colpiscono il forum inserendo messaggi di questo tipo
finto avviso
non mi preoccupano perché al 99% sono solo persone che si sono lette quale advisory con relativo exploit allegato per poi andare in giro a caxxeggiare. Quello che mi preocuppa è che il forum è scoperto e ci sono quelli che entrano, messaggi non le lasciano e magari sono anche un pò più bravini ad andare in giro a fare reale casino.
«
Ultima modifica: 11 Marzo 2007, 11:02:41 da step76
»
Loggato
Rikkardone
Moderatore
Posts: 754
Http://www.prozone.it Vulnerabile Occhio
«
Risposta #6 il:
11 Marzo 2007, 11:47:01 »
scusate se mi permetto, ma non si può decidere di aprire un forum e poi l'amministratore assentarsi per tutto questo tempo... se così fosse, meglio che chiami nuovi collaboratori (magari amministratori in più) che gli guardino le spalle.
ne va dei nostri dati, del nome del forum e degli utenti che prima o poi non saranno più disposti a rischiare... scusate se questa critica pensate sia offensiva, ma la concorrenza non sta ferma a guardare...
Loggato
My Blog:
www.rikkardone.it
lacellula
Moderatore
Posts: 1 138
Http://www.prozone.it Vulnerabile Occhio
«
Risposta #7 il:
11 Marzo 2007, 12:18:10 »
Citazione
se così fosse, meglio che chiami nuovi collaboratori (magari amministratori in più) che gli guardino le spalle.
Il problema non è tanto degli admin, ma sta nella sicurezza intrinseca degli script. Tempo fa nel corso dell'unico vero hackeraggio del sito consigliai alcune cose banali che, ahimè, non furono messe in atto. In altre parole aggiornare sempre e comunque gli script.
Citazione
Poniamo che TIZIO si iscriva a due forum X e Y con lo stesso user PIPPO e la stessa password 1234. Poniamo che entrambe i forum usino MD5.
Se io riesco ad ottenere la password MD5 del sito X potrei ottenere una collisione da utilizzare sul sito Y senza aver bisogno di conoscere la password originale.
Credo di aver capito. Ti ringrazio qui anche per la risposta su MSSql
«
Ultima modifica: 11 Marzo 2007, 12:18:36 da lacellula
»
Loggato
Guide programmazione
marcodxn
Utente Attivo
Posts: 423
Http://www.prozone.it Vulnerabile Occhio
«
Risposta #8 il:
11 Marzo 2007, 14:06:21 »
Non è che a Effe8 hanno cambiato la password? <_<
Se così fosse, Effe, basta che ti fai un piccolo script in php che ti stampi a schermo (o se vuoi che faccia l'inserimento in database) dell'MD5 della stringa che hai scelto come password, per poterla inserire nel campo corretto all'interno del database.
Credo che tu queste cose le sappia, quindi le scrivo giusto per "scrupolo".
Piuttosto, è davvero da tempo che non si fa vedere...qualcuno lo conosce personalmente? Magari non è un gran periodo...
Ciao
m.
Loggato
Diavolo_Rosso
Utente Avanzato
Posts: 816
Http://www.prozone.it Vulnerabile Occhio
«
Risposta #9 il:
11 Marzo 2007, 14:09:14 »
Citazione
scusate se mi permetto, ma non si può decidere di aprire un forum e poi l'amministratore assentarsi per tutto questo tempo... se così fosse, meglio che chiami nuovi collaboratori (magari amministratori in più) che gli guardino le spalle.
ne va dei nostri dati, del nome del forum e degli utenti che prima o poi non saranno più disposti a rischiare... scusate se questa critica pensate sia offensiva, ma la concorrenza non sta ferma a guardare...
a tra l'altro aggiungerei che neanche i moderatori scherzano
l'ultimo messaggio di Gioxx risale al 5 Marzo
l'ultimo messaggio di guardaqua è del 6 Marzo
e Uncino non lo contiamo neanche visto che non posta dal giugno scorso
Cioè. un forum delle dimensioni di ProZone che non viene visitato da neanche un responsabile per una settimana mi pare un pò eccessivo.
Sono anche io del parere che sia il caso di rinforzare un minimo l'organico.
«
Ultima modifica: 11 Marzo 2007, 14:12:54 da Diavolo_Rosso
»
Loggato
Psycotic.it
Diavolo_Rosso
Utente Avanzato
Posts: 816
Http://www.prozone.it Vulnerabile Occhio
«
Risposta #10 il:
11 Marzo 2007, 14:11:49 »
Citazione
Non è che a Effe8 hanno cambiato la password? <_<
Se così fosse, Effe, basta che ti fai un piccolo script in php che ti stampi a schermo (o se vuoi che faccia l'inserimento in database) dell'MD5 della stringa che hai scelto come password, per poterla inserire nel campo corretto all'interno del database.
Credo che tu queste cose le sappia, quindi le scrivo giusto per "scrupolo".
Piuttosto, è davvero da tempo che non si fa vedere...qualcuno lo conosce personalmente? Magari non è un gran periodo...
Ciao
m.
essendo suo lo spazio credo proprio che abbia l'accesso diretto al db senza bisogno di scrivere script in php :rolleyes:
Loggato
Psycotic.it
Rikkardone
Moderatore
Posts: 754
Http://www.prozone.it Vulnerabile Occhio
«
Risposta #11 il:
11 Marzo 2007, 15:40:46 »
Citazione
essendo suo lo spazio credo proprio che abbia l'accesso diretto al db senza bisogno di scrivere script in php :rolleyes:
appunto...
rimaniamo in attesa, sperando di non fare la muffa......... :ph34r:
Loggato
My Blog:
www.rikkardone.it
gja
Utente Attivo
Posts: 264
Http://www.prozone.it Vulnerabile Occhio
«
Risposta #12 il:
11 Marzo 2007, 18:31:18 »
ma perchè non ci si sbriga a tamponare questa falla nel forum
??
Loggato
Rikkardone
Moderatore
Posts: 754
Http://www.prozone.it Vulnerabile Occhio
«
Risposta #13 il:
11 Marzo 2007, 18:50:08 »
ho fatto una rapida ricerca, ma sembra che alessandro non sia "operativo" da tempo............
Loggato
My Blog:
www.rikkardone.it
marcodxn
Utente Attivo
Posts: 423
Http://www.prozone.it Vulnerabile Occhio
«
Risposta #14 il:
11 Marzo 2007, 21:30:32 »
Citazione
Citazione
essendo suo lo spazio credo proprio che abbia l'accesso diretto al db senza bisogno di scrivere script in php :rolleyes:
appunto...
Beh se ne farebbe poco dell'MD5 di una password cambiata...
Comunque non è questo il punto... Gioxx o Guardaqua potrebbero sapere qualcosa di più, speriamo passino presto...
Ciao
m.
Loggato
Pagine: [
1
]
2
3
PROZONE
>
Forum
>
Zona Operativa
>
Sicurezza
> Topic:
Http://www.prozone.it Vulnerabile Occhio
« precedente
successivo »
Salta a:
Seleziona una destinazione:
-----------------------------
Zona Operativa
-----------------------------
=> Nomi a Dominio
=> Web Hosting
=> VPS, Serverd Dedicati, Housing
=> Rivendita Hosting
=> E-commerce
=> Sicurezza
=> Programmazione
=> CMS, forum, blog & C.
=> Grafica
=> Come promuovere i siti web
=> Internet News
-----------------------------
Zona Provider
-----------------------------
=> *Tophost
===> Script e C.
-----------------------------
Zona Promozioni
-----------------------------
=> Hosters: annunci dal settore
=> Hosters: offerte speciali e limitate
=> Webmaster: cerco & offro
=> Webmaster: fai conoscere il tuo sito
-----------------------------
Zona Annunci & Relax
-----------------------------
=> Pizzeria
=> Salotto tecnico
=> Domande, suggerimenti e presentazioni
=> Novità e annunci ufficiali
Oggetto
Iniziato da
Risposte
Visto
Ultimo Post
ERRORE 500 PERSISTENTE
«
1
2
»
Dausto
26
7182
11 Settembre 2007, 19:30:13
da
Tophost
phpBB3 su TopHost
MaryLou
10
6492
4 Luglio 2008, 10:58:02
da
loris1966
La Psicosi Del Brodo Di Cappone
effe8
2
2523
2 Marzo 2006, 21:30:15
da
step76
Ottimizzare Mysql Per Prestazioni Migliori
effe8
3
15352
10 Marzo 2009, 10:01:20
da
MySeQuoiaL
Le cose da NON fare con AdSense.
lacellula
0
3172
18 Settembre 2007, 10:32:19
da
lacellula
Caricando...