Categorie
Hacking News

groupon.co.in, quando il verbose è troppo

7ed387373b4f6301ec9688b00e0c0da0

Il sito di groupon India era affetto da una misconfiguration che consentiva di visionare il codice sorgente della pagina PHP.

E’ apparsa il 12 Maggio 2013 sul blog di Ranger’s logs l’incredibile, per quanto stupida, scoperta fatta da questo appassionato di tecnologia. Si tratta di una misconfiguration sul livello di verbose del webserver in caso di errore.

Il metoto usato per mandare in errore il webserver era quello di mettere un apice alla fine del parametro (come si fa solitamente per le SQL Injection):

http://getaways.groupon.co.in/deals/294301?city=Bangalore’

L’immagine è abbastanza esplicativa:

Cobweb exception  CobwebErrorException

E ‘incredibile come la maggior parte della gente pensi che la sicurezza informatica coinvolga “firewall”, “crittografia”, “algoritmi complessi”, … Mentre l’anello debole della catena è sempre l’essere umano.

Con questa citazione presa direttamente dal blog di Rangers, lascio a voi le conclusioni

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.