Perego Paolo Franco wrote: >> > [snip] >> Il problema è stato tempestivamente mandato con la soluzione a chi di >> competenza...risponderanno? :o
> No, non funziona così. > Prima si segnala un problema al mantainer di un sito, poi quando questi lo > chiude allora rilasci il bollettino coi risultati della tua ricerca. > > Che poi "ricercare" vulnerabilità nel sito della propria università senza > liberatoria sia anche reato, bhé questo non sta a me dirlo. > > Sikurezza.org, da quando partecipo io, è per la full disclosure ma non per le > azioni di cracking, il tutto IMHO ovviamente. > > thesp0nge Be' il discorso mi sembra di averlo posto in simpatia... non era certo un vanto o altro di bambino cracker che ha fatto la marachella. Tutto nasce su 'quanto sono realmente sicuri i siti delle universita' italiane contro le mode del momento? (vedi XSS) e sopratutto quanto sono tempestivi o danno importanza i mantainer ed i responsabili? era una sorta di 'punto sulla situazione'. Il fatto che ad oggi, passate già 48hr e contattati i diretti 'responsabili' i quali non hanno ne' patchato ne' tantomeno considerato il mail...dovrebbe far pensare alla poca? importanza che ha la sicurezza in ambito universitario..o (ma mi sembra strano ipotizzarlo) solo nell'università di Catania. Punto pen-ultimo, la vulnerabilita' non e' stato per altro 'ricercata'. è balzata agli occhi dal nulla, certo fa di me una persona poco tecnica e professionale dirlo:), ma quella pagina viene data al -page not found- quindi... più palese di così! Punto ultimo, proprio a causa della sicurezza e' nato il discorso, per quanto i siti universitari italiani siano spesso solo 'informativi' sono poco appetibili (per le mode degli ultimi tempi) per cracker alla ricerca di soldi facili, spesso i problemi non balzano proprio agli occhi al primo acchitto e quindi vengono valutati meno profondamente.(vedi problemi simili legati alle banche e allo stupefacente panico mediatico suscitato nei mesi/anni scorsi: Sella,Poste etc...) ma se consideriamo per un attimo, i dati sensibili che ogni secondo quei siti fanno circolare, Codice fiscale, matricola, webmail docente/amministrazione/tecnico/studenti ed in alcuni casi anche pagamenti online di tasse iscrizioni/rate venissero rediretti / sniffati...il problema avrebbe sicuramente un'ampiezza maggiore. ricordo inoltre che essendo solo, semplicemente, una questione di XSS e non essendo nessuna 'penetrazione' nei sistemi, la cassa di risonanza risulta ancora più ampio, perchè usabile senza (quasi) nessuna traccia, se non quella della vittima. - C'e' anche un altro fattore ben più grave IMHO che non ho postato, sperando in una cortese risposta o patch da parte degli amministratori del sito in questione. - Ah. dimenticavo...non è più la mia università...non sono riuscito a superare lo scoglio delle analisi.=) -skien ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
