Chi sonoViolare un sito militare ed accedere a tutti i contenuti riservati: Ecco come ho fatto!
Articoli speciali, Sicurezza Informatica — il aprile 27, 2011 alle 01:34 | Scarica l'articolo in formato PDFTweet
Qualcuno di voi potrà pensare che quello che sto per scrivere sia il frutto di qualche sogno delle notti passate o di un’allucinazione che sto avendo a causa della stanchezza (al momento è l’1.22), ma non è affatto così. Vi sto infatti per parlare di una gravissima falla di sicurezza che affligge il portale militare https://aepubs.army.mil/. Se provate infatti ad accedere al sito tramite un qualsiasi browser otterrete un messaggio del tipo:
You do not have permission to view the web site from the Internet address of your Web browser.
In poche parole non siete autorizzati ad accedere ai contenuti. Ma ne siamo proprio sicuri? Il documento che qui sotto vedete è stato recuperato direttamente dal portale che vi ho indicato qualche riga sopra. Come ho fatto? Semplicemente ho sfruttato il carissimo amico Google e adesso vi spiegherò come 
Non crediate che si tratti di qualche tecnica sofisticata o chissà quale trucco magico. Mi è bastato infatti utilizzare in maniera corretta i parametri messi a disposizione da Google per affinare le proprie ricerche ed in questo caso particolare mi è bastato digitare un “site:aepubs.army.mil” per ritrovarmi sul monitor tutte le pagine indicizzate di quel portale, documenti riservati compresi.
Ma come mai succede tutto ciò? Come è possibile? Semplicemente non sono stati settati in maniera corretta i file robots.txt, i quale impediscono ai motori di ricerca di andare a ficcare il naso dove non dovrebbero
Fonte | Attivissimo
Newsletter
15 commenti
Mah….Lol
Eccellente!
Questa si che è sicurezza militare!
Purtroppo per noi del settore sembra un errore grossolano, e lo è davvero. Ma per chi non capisce nulla di web, come spesso succede haimé nella PA, succede questo e anche di peggio.
“Come ho fatto? Semplicemente ho sfruttato il carissimo amico Google e adesso vi spiegherò come”
Inserisci almeno la fonte – lo hai preso dal blog di Paolo Attivissimo
http://attivissimo.blogspot.com/2011/04/usare-google-per-violare-un-sito.html#comments
un po simile mi sembra
magari cita la fonte..
fonte della fonte: Twitter da parte di Mikko Hypponen
Si ma almeno Attivissimo la cita, la fonte
Attivissimo è citato alla fine del post
non ti vergogni manco un po?
Per quale motivo dovrei?
…è vero che l’ errore è dei responsabili della sicurezza del sito ma non possono venire a dirti nulla? tipo violazione di zona militare? ( anche se tutti possono accedervi dopo aver letto questo post XD )
Violare un sito militare ed accedere a tutti i contenuti riservati: Ecco come ho fatto!: mi sembra un pò pretestuoso come titolo, anche perché qui non si tratta di violare ma di cercare… Questa tecnica è la tecnica chiamata Google-hack vecchia come la terra, non è una novità, basta utilizzare i giusti operatori logici.
Ma la cosa che fa più pensare è: se i files sono stati indicizzati da Google, significa che sono custoditi non su server proprietari in una Intranet, filtrata ma in semplici webfarm, connesse ad Internet.
Molto semplice. Io mi mangerei i consulenti informatici del Pentagono.
Per esperienza un anno fa ho trovatomolto materiale svariate decine de mega in Pdf con lo stesso metodo ma con operatori diversi molto materiale su MJ-12 Majestic-12.
Funziona veramente, ci ho appena provato!
Veramente scandaloso, pensate se fineisce nelle mani sbagliate!
Evviva la censura…altro che manifesto hacker…pubblicali tutti i commenti…
Si ma i dati riservati stanno su delle farm apposite quelli che trovi qui al massimo è l’elenco delle cose che danno da mangiare alla mensa della CIA lol