La sorgente di una JSP del ministero della salute, trovata tramite downloadblog, con tanto di bellissima query generata con un parametro GET non sanitizzato.
E poi a me bucano wordpress.
Non è giusto perche WP è fatto molto meglio di questa cosa anni 90. Non è giusto perchè fa danni a chi non ha migliaia di ore da investire in sicurezza, neanche volendo. Ma … alla fine … il software custom e con sorgenti private (non closed source, ma rilasciate all’unico cliente finale) anche se di qualità non eccelsa è difficile da attaccare. La sicurezza attraverso la non conoscenza non dà certezze assolute, ma sembra che statisticamente renda di più della sicurezza tramite validazione della wisdom of the crowd.
Pessimismo ? forse solo realismo. Gli attacchi a wordpress e phpBB sono reali e documentati. Ed entrambi sono software scritti bene. Non perfetti (altrimenti non avrebbero vulnerabilità) ma neanche di una bruttezza proporzionale al numero di attacchi che ricevono che invece vanno di pari passo con la diffusione del software in questione.
Per farsi 2 risata sulla SQL injection ricordo : E-di-cognome-cosa-fai