2014-04-16 11:29 GMT+02:00 Marco Ermini <[email protected]>: > (non voglio suggerire che questo sia il modo in cui ragioni *tu* - > vorrei solo evitare l'equivoco che qualcuno possa farlo!) Assolutamente, il tuo discorso è chiaro. Il problema è da indirizzare ma assieme alle n vulnerabilità dei vari CMS che spuntano come funghi e che non arrivano al "grande pubblico".
>> btw sto provando ad exploitare una web app di test mia... a fronte di >> n login simulati, lanciando più volte l'exploit ho ottenuto garbage. >> Ovviamente come test lascia il tempo che trova, però ecco... non è di >> sicuro una cosa "schiocco le dita e mi da vita, morte e miracoli degli >> utenti che fanno login". > > Senza offesa, questo ragionamento tanto a questo: > https://yourlogicalfallacyis.com/personal-incredulity ;-) "Ovviamente come test lascia il temo che trova" ;-) Quello che volevo dire è che, mentre una SQL inj mi da la possibilità di puntare direttamente il dato che voglio, questa vulnerabilità per farmi ottenere informazioni succose deve avere la componente luck(2). Diciamo che sottotraccia era un rant sul fatto che stanno ricamando su questa cosa mentre per mille altri buchi sembriamo pazzi noi a chiedere il patching. Sorry se ho fatto credere di voler dare una valenza "uber alles" dei miei test da laboratorio :-P > Sono d'accordo che i media ci hanno pompato, ma perché fare del male > alla nostra stessa community una volta tanto che abbiamo delle belle > carte da giocare? :-) mi sembra più saggio "usarlo" in altro modo. *indeed* Paolo -- $ cd /pub $ more beer Il primo blog di application security italiano morbido fuori e croccante dentro: http://codiceinsicuro.it
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
