La sicurezza militare

Vi chiederete cosa c’entra la marina militare con un blog che parla di computer.
Marina Militare

Me lo chiederei anche io se non fosse che un amico esperto di sicurezza mi ha indicato una pagina web presente sul sito della marina.

Marina Militare Italiana che essendo un corpo della Difesa presumo abbia informazioni di una certa rilevanza sui suoi database.
Ma vediamo la pagina in questione:

http://www.marina.difesa.it/gare/index.asp?npag=1%20&
strsql=select+%2A+from+bandigara++where+categoria+like+
%27%25Lavori%25%27+++order+by+data%5Fgara+DESC%2C+id+%3B

a prima vista non sembra ci sia nulla di strano, è una pagina in un linguaggio inferiore (ASP) con una sleppa di variabili in querystring.
Soffermandosi un attimo sul tipo di variabili però l’imbarazzo sorge spontaneo:

strsql=select+%2A+from+bandigara++where+categoria+like
+%27%25Lavori%25%27+++order+by+data%5Fgara+DESC%2C+id+%3B

gente, qui viene passata TUTTA una query e viene eseguita con i massimi privilegi senza nessun tipo di controllo, ho provato io stesso ad eliminare le clausole del WHERE e la pagina ha restituito tutto, quindi un malintenzionato (e vi sconsiglio di farlo per non trovarvi nei guai) potrebbe fare un TRUNCATE o un DROP senza problemi, per non parlare del fatto che potrebbe inserire o estrarre dati sensibili…

E allora io mi chiedo, ma se alla Marina Militare affidano un database con dati di importanza nazionale a dei programmatori ASP, i nostri mari chi li controlla? Capitan Findus?
Capitan Findus

Una risposta a La sicurezza militare

  1. evilripper scrive:

    Oddio e’ una cosa orripilante!🙂
    Ma cosa aspettano a metterlo a posto?

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger cliccano Mi Piace per questo: