Categories
Hacking News

groupon.co.in, quando il verbose è troppo

7ed387373b4f6301ec9688b00e0c0da0

Il sito di groupon India era affetto da una misconfiguration che consentiva di visionare il codice sorgente della pagina PHP.

E’ apparsa il 12 Maggio 2013 sul blog di Ranger’s logs l’incredibile, per quanto stupida, scoperta fatta da questo appassionato di tecnologia. Si tratta di una misconfiguration sul livello di verbose del webserver in caso di errore.

Il metoto usato per mandare in errore il webserver era quello di mettere un apice alla fine del parametro (come si fa solitamente per le SQL Injection):

http://getaways.groupon.co.in/deals/294301?city=Bangalore’

L’immagine è abbastanza esplicativa:

Cobweb exception  CobwebErrorException

E ‘incredibile come la maggior parte della gente pensi che la sicurezza informatica coinvolga “firewall”, “crittografia”, “algoritmi complessi”, … Mentre l’anello debole della catena è sempre l’essere umano.

Con questa citazione presa direttamente dal blog di Rangers, lascio a voi le conclusioni

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.