[OT] Buco su server Sky
Zanardi
a.zanardi a libero.it
Gio 30 Ott 2003 11:01:19 UTC
Magari la cosa non e' sensazionale, ma... avete presente quelle pagine
SSL in cui si deve mettere ID e Password, ma i parametri vengono passati
in GET, quindi se uno riesce a riprodurre l'URL corretta completa di
parametri, riesce tranquillamente a vedere una pagina protetta senza
dover mettere ID e Password?
Be', succede anche su uno dei server di Sky, e permette di vedere gli
ordini (e quindi alcuni dati personali) dei loro utenti.
https://www.dealers.skytv.it/pls/husr/StampaOrdOLSat?numordlav=XXXXXX&CodeTipoOl=I
Dove c'e' scritto "XXXXXX" mettere un numero a sei cifre (non vi daro'
nessun numero di preciso, ma se iniziate con "100" dovreste trovare
subito qualcosa). Sicuramente sarebbe il caso di segnalarlo a Sky, e
probabilmente lo faremo... ma prima volevo rendere pubblica la
"sicurezza" e la "privacy" dei loro sistemi.
P.S. la scoperta e' stata fatta da un mio collega con un utenza Sky
mentra curiosava sul loro sito.
--
Francesco Abeni
Zanardi2k3
a.zanardi a libero.it
Maggiori informazioni sulla lista
Lug
|
