Cose che ti tocca di vedere

ministero salute

La sorgente di una JSP del ministero della salute, trovata tramite downloadblog, con tanto di bellissima query generata con un parametro GET  non sanitizzato.

E poi a me bucano wordpress.

Non è giusto perche WP è fatto molto meglio di questa cosa anni 90. Non è giusto perchè fa danni a chi non ha migliaia di ore da investire in sicurezza, neanche volendo. Ma … alla fine … il software custom e con sorgenti private (non closed source, ma rilasciate all’unico cliente finale) anche se di qualità non eccelsa è difficile da attaccare.  La sicurezza attraverso la non conoscenza non dà certezze assolute, ma sembra che statisticamente renda di più della sicurezza tramite validazione della wisdom of the crowd.

Pessimismo ? forse solo realismo. Gli attacchi a wordpress e phpBB sono reali e documentati. Ed entrambi sono software scritti bene. Non perfetti (altrimenti non avrebbero vulnerabilità) ma neanche di una bruttezza proporzionale al numero di attacchi che ricevono che invece vanno di pari passo con la diffusione del software in questione.

Per farsi 2 risata sulla SQL injection ricordo : E-di-cognome-cosa-fai

3 Comments

  1. No, non ho provato. Ci tengo ad avere una assistenza sanitaria … quelli, se funziona, poi appendono una mia foto in ogni ospedale con sotto scritto “Io non posso entrare”

  2. Concordo sul fatto che i programmi non pubblici siano tendenzialmente più sicuri. per tre motivi:
    1 – se non hai il sorgente a disposizione devi andare a tentativi ed è più difficile
    2 – i programmi open source distribuiti gratuitamente sono molto diffusi e “fa più figo” bucare migliaia di siti usando uno script creato da qualcun altro
    3 – se usi un programma personalizzato i cui sorgenti non sono pubblici, ti cercano di bucare solamente se hai rotto le balle a qualcuno… quindi tendenzialmente è più improbabile

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.