Il sito di groupon India era affetto da una misconfiguration che consentiva di visionare il codice sorgente della pagina PHP.
E’ apparsa il 12 Maggio 2013 sul blog di Ranger’s logs l’incredibile, per quanto stupida, scoperta fatta da questo appassionato di tecnologia. Si tratta di una misconfiguration sul livello di verbose del webserver in caso di errore.
Il metoto usato per mandare in errore il webserver era quello di mettere un apice alla fine del parametro (come si fa solitamente per le SQL Injection):
http://getaways.groupon.co.in/deals/294301?city=Bangalore’
L’immagine è abbastanza esplicativa:
E ‘incredibile come la maggior parte della gente pensi che la sicurezza informatica coinvolga “firewall”, “crittografia”, “algoritmi complessi”, … Mentre l’anello debole della catena è sempre l’essere umano.
Con questa citazione presa direttamente dal blog di Rangers, lascio a voi le conclusioni