Roma – Gent.le redazione di Punto-Informatico,
vi scrivo per segnalarvi una grave falla che colpisce AdMentor ,
un diffusissimo script per la gestione di banners online. Realizzato sia con le Asp, sia con Php, soffre di un buco per colpa del quale, chiunque può accedere al Pannello di
controllo come amministratore, con le problematiche che si possono immaginare.
Caricando infatti la pagina di Login (qualcosa
tipo nomesito.it/admentor/admin/login.asp o nomesito.it/phpadmentor/admin/index.php a seconda delle
versioni) e inserendo la stringa
‘ or ”='
Come username e password, si riesce ad accedere come amministratore. È
una stringa famosa per chi progetta applicazioni protette, ma evidentemente chi ha realizzato AdMentor non
vi ha fatto attenzione.
Consiglio caldamente a chiunque utilizzasse questo
script, di risolvere il problema quanto prima, modificando la stringa di connessione al database, oppure intercettando tale stringa nel
seguente modo:
If sUser = “‘ or ”='”
Then
Response.redirect ” pagina di login ”
End
If
Da inserire nel file admentorsecurity.asp (prima
dell connessione al database), presente nella directory include .
Anche con Php, risolvere il problema non è
difficile, modificando la stringa di connessione al database oppure aggiungendo queste righe:
if ($username == “‘ or ”='”)
{
header(“location: pagina di login “);
}
Il
codice va inserito inclogin.php , presente nella cartella admin .
Un caro saluto!
Roberto Abbate
Web developer di Risorse.net – Comunità virtuale per webmaster
Update : Alcuni lettori ci hanno scritto facendo notare che la soluzione qui proposta funziona solo se la stringa inserita come userid è
esattamente uguale a “‘ or ”='”: se però si inserisce la stessa stringa nello userid con qualche spazio alla fine, il problema si ripresenta.
A tal proposito Roberto Abbate ci ha inviato questa integrazione alla sua lettera.
“Per evitare che aggiungendo o togliendo spazi si riesca comunque ad accedere al sistema di amministrazione, modificate la sintassi proposta in precedenza con la seguente:
Codice ASP
———-
If InStr(sUser,”=”) Then
Response.Redirect ” pagina di login ”
End If
Codice PHP
———-
if (stristr($username,”=”)) {
header(“location: pagina di login”);
}
In questo modo, verificando la presenza dell'uguale nella user, si potranno
bloccare molti tentativi di ingresso non autorizzato”.
L'autore ricorda che questa non è una patch ufficiale né definitiva e, pertanto, potrebbe lasciare aperte altre possibilità d'incursione.
-
No Comment
un NO COMMENT a chi qualche giorno fa sosteneva che per linux non ci sono applicazioni grafiche PROFESSIONALI...Re: No Comment
- Scritto da: professionale> > un NO COMMENT a chi qualche giorno fa> sosteneva che per linux non ci sono> applicazioni grafiche PROFESSIONALI...che infatti ci sono (ad esempio Maya).inoltre sembra che si stia sviluppando una versione di GIMP specifica per realizzazioni cinematografiche, FILM-GIMP, che potrebbe erodere il mercato anche di Adobe Photoshopil link:http://film.gimp.orgRe: No Comment
Certo che ci sono.. ma non sono gratis.Re: No Comment
e scusa... chi l'ha detto che *devono* essere gratis? sotto altre piattaforme lo sono, forse?ciaogodzRe: No Comment
- Scritto da: professionale> > un NO COMMENT a chi qualche giorno fa> sosteneva che per linux non ci sono> applicazioni grafiche PROFESSIONALI...Per Linux non esisteno applicazioni grafiche professionali.Maya o Renderman sono applicazioni di nicchia per mercat estremamente ristretti.La grafica professionale si esplica al 95% attraverso categorie di programmi totalmente assenti su Linux.Infine, ripeto, GIMP non è un programma professionale.Re: No Comment
Allora cosa si intende per applicazioni di grafica professionale ?Re: No Comment
Sicuramente M$ Photopaint ! :)))))Che pena !Re: No Comment
- Scritto da: gsam> Allora cosa si intende per applicazioni di> grafica professionale ?Creazione illustrazioni raster: PainterCreazione illustrazioni vettoriali: Illustrator, FreehandFotoritocco e fotomontaggio: Photoshop, Photoretouch, Tiffany, Studio ArtistImpaginazione: Xpress, InDesignGestione dei Font: SuitcaseControllo Colore: ColorSynce questo per cominciare.Re: No Comment
Con Maya & C. ci fai la stessa cosa con Photopaint e molto di più.Certo costa molto di più e richiede o.s. tecnicamente migliori di quello M$ (che alla bisogna possano costituire cluster paralleli degni di questo nome, anche se non necessariamente da CERN) e più difficili (almeno per quanto riguarda il lato config. o.s. per Maya & C. e anche per la config. di Maya & C.).Ma ciò non significa che non ci puoi fare quello che ci fai con Photopaint.L'unica differenza: il prezzo.Re: No Comment
- Scritto da: BSD_like> Con Maya & C. ci fai la stessa cosa con> Photopaint e molto di più.> Certo costa molto di più e richiede o.s.> tecnicamente migliori di quello M$ (che alla> bisogna possano costituire cluster paralleli> degni di questo nome, anche se non> necessariamente da CERN) e più difficili> (almeno per quanto riguarda il lato config.> o.s. per Maya & C. e anche per la config. di> Maya & C.).> Ma ciò non significa che non ci puoi fare> quello che ci fai con Photopaint.> L'unica differenza: il prezzo.Caro BSD_Like, finché parli di BSD forse ci potrai anche capire, stavolta invece l'hai detta grossa.In breve, Maya è una suite di programmi per creare animazioni 3D (gira benissimo su NT), Photopaint è un miserevole programma di Microsoft per lavorare con le immagini 2D. Come vedi sono due cose completamente diverse e NON "puoi fare con Maya quello che ci fai con con Photopaint"Re: i criteri contraddittori di marchet
- Scritto da: marchet> - Scritto da: professionale> > > > un NO COMMENT a chi qualche giorno fa> > sosteneva che per linux non ci sono> > applicazioni grafiche PROFESSIONALI...> > > Per Linux non esisteno applicazioni grafiche> professionali.> Maya o Renderman sono applicazioni di> nicchia per mercat estremamente ristretti.ciò non toglie che si tratta proprio di applicazioni grafiche professionalila tua è una semplice contraddizioneRe: i criteri contraddittori di marchet
- Scritto da: zap> > > - Scritto da: marchet> > - Scritto da: professionale> > > > > > un NO COMMENT a chi qualche giorno fa> > > sosteneva che per linux non ci sono> > > applicazioni grafiche PROFESSIONALI...> > > > > > Per Linux non esisteno applicazioni> grafiche> > professionali.> > Maya o Renderman sono applicazioni di> > nicchia per mercat estremamente ristretti.> > ciò non toglie che si tratta proprio di> applicazioni grafiche professionali> > la tua è una semplice contraddizione> Ricominci? su questo terreno? temerario!Re: i criteri contraddittori di marchet
> > Per Linux non esisteno applicazioni> grafiche> > professionali.> > Maya o Renderman sono applicazioni di> > nicchia per mercat estremamente ristretti.> > ciò non toglie che si tratta proprio di> applicazioni grafiche professionali> no, si tratta di applicazioni grafiche verticali, adatte ad un unico scopo, e quasi sempre personalizzate appositamente per lo studio che le usera'.Non si tratta di programmi di grafica, tra l'altro, ma di software di modellazione e rendering, che e' cosa ben diversa.> la tua è una semplice contraddizione> in termini, non nei fatti.L'italiano e' una lingua naturale e come tale ambigua. Se le frasi vengono riportate integralmente come predicati logici, i risultati sono sballati.Infatti la prima cosa che si impara studiando logica e' di non farsi infinocchiare dalle trappole del linguaggio naturale.Esempio scemo, il silloggismo aristotelico.ciaoBleah
Al di la della tecnologia usata, il film fa proprio pena, forse uno dei peggiori della Disney...Molto meglio Metropolis...Re: Bleah
Ma di che film parli?Re: Bleah
Se parla di Shrek a me è picaiuto molto !Re: Bleah
- Scritto da: Memo Remigi> Se parla di Shrek a me è picaiuto molto !Ma non è della Disney!Re: Bleah
anche a me è piaciuto molto, ma mi pare che sia della DreamWorks (sicuramente /non/ della Disney).ciaogodzRe: Bleah
- Scritto da: Memo Remigi> Se parla di Shrek a me è picaiuto molto !Se parla di quello, allora non sa una favazza di animazione: è una produzione DreamWorks...Ma chi si caga la disney?
W Ken il guerriero! Altrochè la disney e linux dei miei stivali: qualche ignorante giapponese con in mano una matita fà miracoli!Re: Ma chi si caga la disney?
- Scritto da: Yo!> W Ken il guerriero! Altrochè la disney e> linux dei miei stivali: qualche ignorante> giapponese con in mano una matita fà> miracoli!Specialmente con i coreani sottopagati che intercalano i disegni a 16 fps!Comunque ken è veramente fatto coi piedi...Re: Ma chi si caga la disney?
- Scritto da: marchet> - Scritto da: Yo!> > W Ken il guerriero! Altrochè la disney e> > linux dei miei stivali: qualche ignorante> > giapponese con in mano una matita fà> > miracoli!> > Specialmente con i coreani sottopagati che> intercalano i disegni a 16 fps!> > Comunque ken è veramente fatto coi piedi...Concordo... non la chiamerei neanche animazione, è di una staticità paurosa.Re: Ma chi si caga la disney?
Ken è un cartone dell'84, si molto statico, ma i disegni sono notevoli !Non so se avete mai provato a guardarlo in tv con il fumetto in mano... le scene sono LE STESSE !!! :)Comunque Ken è Ken, c'è poco da fare !Re: Ma chi si caga la disney?
Non ti preoccupare, il tuo livello di sapienza e cultura si vede chiaramente dal modo in cui ti esprimi.e il posto migliore dove usare linux
infatti chi disegna le varie scenette umoristiche deve avere il maggior aiuto possibile quindi si dirigge alla workstation grafica con linux l'accende se becca due errori di anaconda gia in fase di root escuse mua di boot, comincia a ridere come na bestia quindi pompato da sta botta di idiozia in formato sistema operatico, va sul suo portatilino con XP e usando il solo Paint ti realizza scene tridimensionali per l'equivalente di meta filmRe: e il posto migliore dove usare linux
- Scritto da: linuxfaridereancheladisne> infatti chi disegna le varie scenette> umoristiche deve avere il maggior aiuto> possibile quindi si dirigge alla workstation> grafica con linux l'accende se becca due> errori di anaconda gia in fase di root> escuse mua di boot, comincia a ridere come> na bestia quindi pompato da sta botta di> idiozia in formato sistema operatico, va sul> suo portatilino con XP e usando il solo> Paint ti realizza scene tridimensionali per> l'equivalente di meta filmSi. E la cosa che fa più ridere è che le disegna con il Paint...P.S. A proposito di errori, dare una controllatina all'"itagliano" ?Re: e il posto migliore dove usare linux
- Scritto da: TeX > Si. E la cosa che fa più ridere è che le> disegna con il Paint...> > P.S. A proposito di errori, dare una> controllatina all'"itagliano" ? onestamente chi critica l'italiano altrui e poi usa una costruzione sintattica nel P.S. come la tua o e un poeta e quindi ha la licenza oppure farebbe meglio a star zittoRe: e il posto migliore dove usare linux
- Scritto da: dante...> onestamente chi critica l'italiano altrui e> poi usa una costruzione sintattica nel P.S.> come la tua o e un poeta e quindi ha la> licenza oppure farebbe meglio a star zittoEbbene si: SONO UN POETA !Grazie, il tuo commento è in fase di approvazioneGrazie, il tuo commento è stato pubblicatoCommento non inviatoLeggi gli altri commenti19 06 2002
Link copiato negli appuntiTi potrebbe interessare
![Redazione]()
19 06 2002Link copiato negli appunti
