Skip to content
Archive of posts tagged Security

Linkflood 2011-07-31: Twitter Trend injection, Open Service e Java 7

Anche questa settimana, una raccolta dei migliori link che ho letto in rete. Stavolta si spazia dal mobile alla security, passando ad argomenti utili per la formazione del buon coder e alla reale utilita’ della SIAE in Italia.

Introducing Java 7 - E’ stato finalmente rilasciato Java7, dopo anni di attese e silenzi (dovuti, in parte, a tutta la storia dell’acquisizione di Sun da parte di Oracle e a cio’ che questo ha portato). Una presentazione delle nuove feature in Java7, com un po di snippet di codice chiarificatori.

Android Augmented Reality Framework - Una ricca lista di framework da usare per sviluppare applicazioni di AR per Android.

What is the single most influential book every programmer should read? – Una raccolta dei migliori libri che un programmatore dovrebbe leggere, a prescindere dal linguaggio usato, per approfondire la teoria del codice, le abitudini di un buono sviluppatore e molto altro.

The Principles of Good Programming - Un post che ogni sviluppatore dovrebbe avere stampato su foglio A3 ed appeso datanti al proprio monitor o, per lo meno, nel proprio ufficio bene in vista.

A visualization of US debt (credit card bill) stacked in 100 dollar bills – Un milione di euro, 1 miliardo di euro, 15 miliardi di euro: ma siamo realmente in grado di capire quanti sono? Grazie a questo post volumetrico-comparativo, si.

Why Open Services Are The Future of Innovation – Passare da un’economia del prodotto ad un’economia del servizio. Intervista ad uno scrittore che parla del suo ultimo libro, incentrato proprio su questi temi.

How to stream & record Google+ Hangouts - Un buon metodo (con qualche programma aggiuntivo necessario) per registrare una Hangout di Google+. Da poter riutilizzare con ogni altra sessione di videochiamata fatta anche con altri programmi.

Sophisticated injection abuses the Twitter trend service – I codici usati per fare injection si fanno sempre piu’ elaborati, anche se le tecniche di base sono sempre le stesse: IFrame, obfuscation e un po’ di javascript. Stavolta la vittima e’ stata Twitter Trend Services.

Sprechi di Stato: il caso Siae - Non un articolo tecnico stavolta, ma qualcosa che riguarda da vicino il nostro Paese, e che poi si ripercuote sul prezzo di HD, pennette e supporti ottici e magnetici vari comprati in Italia.

Hacking facili facili grazie ai motori di ricerca

Partendo da un tweet di robconery che mostra quanto sia facile bucare database grazie alla sbadataggine di qualche sviluppatore, ho fatto un po’ di prove e ho esteso il concetto.

 

Ottenere la password di sa e tutti gli altri dati necessari per connettersi ad un db (molti risultati riportano db locali, ma basta spulciarseli per trovare gradite sorprese)

http://google.com/codesearch?q=sa+connectionstring+file%3Aweb.config
http://google.com/codesearch?q=sa+connectionstring+file:app.config

Se poi vi interessano username le password in generale:

http://google.com/codesearch?q=password+connectionstring+file%3Aweb.config
http://google.com/codesearch?q=password+connectionstring+file%3Aapp.config

 

Qualche phpMyAdmin aperto senza nessuna protezione, e con l’utente root configurato puo’ fare sempre comodo:

http://www.google.it/search?q="running+on+localhost+as+root"+intitle%3Aphpmyadmin

Se poi non si e’ interessati all’account di root ma solo ad un generico account, basta modificare la query. Magari anche altri accout hanno ottimi permessi di accesso:

http://www.google.it/search?q="running+on+localhost+as"+intitle%3Aphpmyadmin

Continue reading ‘Hacking facili facili grazie ai motori di ricerca’ »