Interessante scoperta di due vulnerabilità che colpiscono uno dei pannelli di gestione hosting più usati, ISPConfig. In particolare la versione 3.0.5.4p6 che sembra essere vulnerabile sia ad un CSRF che ad un SQLinjection.
MySQL è il database più utilizzato al mondo. Per metterlo al sicuro da eventuali attacchi MiTM sarebbe consigliato configurarlo con il supporto SSL. Purtroppo però sembra che non si comporti sempre nel modo corretto. Configurare PHP ed effettuare una connessione verso un database MySQL utilizzando SSL è abbastanza semplice. Puoi caricare il tuo certificato e…
Vorrei condividere con voi, un articolo del collega Pierluigi Paganini dal suo blog SecurityAffairs.co che mostra come è possibile nascondere del codice malevolo in una semplice jpeg per attaccare un network aziendale. Oltre all’articolo, il video che mostra il POC in azione, è molto interessante. Buona visione. Se avete domande, utilizzate i commenti, sarò felice di rispondervi….
Seguo spesso le notizie su Panorama, qualche giorno fa ho notato che è stato aggiornato il sito con una nuova grafica e l’utilizzo di wordpress. Mossa che definirei un po azzardata, wordpress se non protetto a dovere può dare parecchi grattacapi, soprattutto se si utilizzano molti plugin di terze parti. Navigando nelle pagine del sito, mi sono accorto che…
Wind Infostrada qualche mese fa’ ha pubblicato una promozione sull’ADSL molto conveniente. La promozione consisteva in un abbonamento a scelta tra Absolute ADSL e ALL Inclusive. Fino a qui niente di male. Ma adesso viene il bello…
Qualche giorno fa ho effettuato la registrazione al sito www.ilportaledellautomobilista.it perché volevo verificare quanti punti alla patente mi erano rimasti. Navigando nel sito mi sono imbattuto anche nell’app che è stata sviluppata sia per iPhone che per Android. L’app in questione si chiama iPatente e soffre di alcune vulnerabilità che mettono a rischio la privacy dei cittadini…
Vi siete mai accorti che molti browser per aiutare l’utente ogni tanto correggono in modo automatico quello che scrivi nell’URL? Da questo aiuto deriva il problema di cui vi parlerò in questo post. Ci sono due browser attualmente molto utilizzati Chrome e Firefox che vanno contro le regole dettate da RFC. Di fatto se digitiamo nel…
La vulnerabilità è stata scoperta qualche giorno fa da un italiano Michele Spagnuolo che ha pubblicato sul suo blog il POC per sfruttare la falla. Non sembrano finiti i problemi per Apple dopo l’aggiornamento al suo nuovo iOS7, che ha mostrato diverse vulnerabilità, anche banali come la visualizzazione della gallery del telefono bypassando il pin,…
# Exploit Title: PhpSysInfo 3.1.5 # Google Dork: [inurl:”phpsysinfo” intitle:”System Information”] # Date: 18/07/2013 # Exploit Author: Fabio Natalucci # Vendor Homepage: http://rk4an.github.io/phpsysinfo/ # Software Link: http://rk4an.github.io/phpsysinfo/ # Version: 3.1.5 # Tested on: ALL # CVE : none