Introduzione E’ stata rilevato un nuovo attacco tramite exploit verso il demone IIS (Internet Information Server) dei sistemi operativi Windows.
In realtà la libreria vulnerabile si chiama HTTP.sys che viene utilizzata maggiormente dal demone ISS, ma non solo, teoricamente tutti i programmi che ne usufruiscono sono a rischio!
A cosa serve la libreria HTTP.sys?
Per farla breve e semplice la sua funzione è quella di elaborare richieste HTTP.
Tipologia di vulerabilità e Exploit Microsoft ha classificato questa vulnerabilità come Remote Code Execution, ma per adesso pubblicamente sono stati rilasciati exploit ti tipologia DoS:...
LFI – Introduzione Analizzando pagine web dinamiche di vari siti o ad esempio dei CMS (WordPress, Drupal, Joomla) è possibile notare come gli sviluppatori ottimizzino il codice distribuendolo su più pagine.
In questo modo i programmatori evitano di creare file (ad esempio php) troppo grandi e di conseguenza meno chiari/flessibili.
Per incorporare il contenuto di una pagina php dentro l’altra, vengono utilizzate le funzioni:
include(‘pagina2.php’);
include_once(‘pagina2.php’);
require(‘pagina2.php’);
require_once(‘pagina2.php’);
Cosa può accadere se il nome della pagine inclusa viene richiamata col metodo GET o POST senza l’inserimento di adeguati filtri?...
Introduzione Windows Embedded POSReady 2009 è il sistema operativo che si trova in molti dispositivi P.O.S e si basa su Windows XP.
Microsoft ha deciso di prolungare la manutenzione di questo sistema operativo per i prossimi cinque anni, dato che i pos sono utilizzati in esercenti commerciali con presenza di dati sensibili.
Creando un semplice file .reg ad hoc è possibile far credere a Windows Update di avere un sistema Windows Embedded POSReady 2009....