Autore Topic: [RISOLTO] - Sito joomla, scovata la password di admin, avviso l'utente?  (Letto 4977 volte)

Offline Snt®hw4u®

  • Appassionato
  • ***
  • Post: 350
  • Sesso: Maschio
    • Mostra profilo
Come da titolo,
e non vorrei essere criticato ...

Ero su un sito e mi accordo che è fatto com joomla, essendo curioso, ho voluto verificare il lato admin, per vedere che versione usava e se aveva una protezione

Ho provato a caso a mettere un nome utente e password e sono entrato come super admin.

NON ho fatto nulla di illecito e mi sono scollegato.

Devo avvisare l'utente? come devo comportarmi?

Non mi cazziate per la mia illecità, ma credo che sia doveroso avvisarlo, dicendogli che il suo sistema non è in sicurezza.

Si arrabbierà?

Quindi consiglio a tutti di non usare user e password banali tipo UTENTE UTENTE

Cosa faccio?
« Ultima modifica: 28 Nov 2011, 13:19:35 da Snt®hw4u® »

mau_develop

  • Visitatore
Re:Sito joomla, scovata la password di admin, avviso l'utente?
« Risposta #1 il: 15 Nov 2011, 14:54:56 »
solitamente quelli sono siti di test, probabilmente su domini free.

Non sarà questo il caso ma bisognerebbe capire anche se lui è l'attaccante o la vittima ;)

M.

Offline jeckodevelopment

  • Administrator
  • Instancabile
  • *****
  • Post: 5659
  • Sesso: Maschio
    • Mostra profilo
Re:Sito joomla, scovata la password di admin, avviso l'utente?
« Risposta #2 il: 15 Nov 2011, 15:03:41 »
io penso che l'utente debba essere informato di tale circostanza, te ne sarà grato

Offline ventus85

  • Global Moderator
  • Instancabile
  • ********
  • Post: 6535
  • Sesso: Femmina
  • Affetta da Joomlaite
    • Mostra profilo
Re:Sito joomla, scovata la password di admin, avviso l'utente?
« Risposta #3 il: 15 Nov 2011, 15:13:33 »
Prima verifica se è un sito di test oppure no.
In ogni caso avviserei l'utente, magari dandogli qualche dritta.

Un nome utente e una password così mi fa pensare che sia proprio un sito di prove, anche se io mi sarei aspettata di più un "admin" "admin"  :D Però non è detto e in ogni caso anche se un sito di test un minimo di protezione ci vuole lo stesso.

Comunque che birichino che sei, vai a provare l'accesso al back end degli altri  :P
Se volete aiuto non mandate messaggi privati, ma usate la funzione Cerca e postate sul forum, grazie!

Born in the wind, born to be wild!

mau_develop

  • Visitatore
Re:Sito joomla, scovata la password di admin, avviso l'utente?
« Risposta #4 il: 15 Nov 2011, 19:08:57 »
apro una parente ( ..una a caso :) )

esistono un sacco di cose che all'apparenza potrebbero non avere un senso e proprio questo è la domanda da farsi....
così come una wifi troppo semplice da violare o aperta... ti credi l'attaccante... invece sei la vittima :) ... o magari il semplice tester di qualcosa.

M.

Offline Snt®hw4u®

  • Appassionato
  • ***
  • Post: 350
  • Sesso: Maschio
    • Mostra profilo
Re:Sito joomla, scovata la password di admin, avviso l'utente?
« Risposta #5 il: 17 Nov 2011, 14:52:28 »
Ciao, non mi credo attaccante, ne vittima, ne tester, ho solo provato a caso... e non l'avevo mai fatto..

Ho tirato ad indovinare, non era un user del tipo admin, ma del tipo marco, marco.

Ho pensato solamente al nome che si vede nei contatti.
Non mi ricordo se joomla mostra il nome della persona o dell'user.
Ho semplicemente tirato ad indovinare (questa cosa nel superenalotto non mi riesce..)

E comunque non era un sito di test...

Offline jeckodevelopment

  • Administrator
  • Instancabile
  • *****
  • Post: 5659
  • Sesso: Maschio
    • Mostra profilo
Re:Sito joomla, scovata la password di admin, avviso l'utente?
« Risposta #6 il: 17 Nov 2011, 15:03:56 »
una delle password più diffuse al mondo è "123456", quindi figuriamoci quanti account usano credenziali nome/nome, molti utenti  addirittura modificano le password (un po' più robuste) che gli si assegnano con nomi propri o dei propri cari/figli.
Manca la cultura della sicurezza informatica.

Offline tomtomeight

  • Global Moderator
  • Fuori controllo
  • ********
  • Post: 30342
  • Sesso: Maschio
  • Gli automatismi aiutano ma non insegnano nulla.
    • Mostra profilo
Re:Sito joomla, scovata la password di admin, avviso l'utente?
« Risposta #7 il: 17 Nov 2011, 19:13:30 »
Certo che oggi qualsiasi cosa si cerca in rete e non solo, si ha bisogno di una password, io ho elaborato un metodo per non utilizzare sempre la stessa, associo elementi del contesto ove mi serve la password con un costrutto matematico, che mi permette poi di non ricordarla ma ricavarla al momento dell' utilizzo. Unico inconveniente se si scopre una password si può risalire a tutte le altre, ogni tanto cambio il costrutto per rafforzare la sicurezza. Sarebbe interessante sapere come fate voi.
NEWS DataGrill Xataface Installer (Ver. 1.0.1) per Joomla 3.8.x - DEMO Gestione Magazzino

mau_develop

  • Visitatore
Re:Sito joomla, scovata la password di admin, avviso l'utente?
« Risposta #8 il: 17 Nov 2011, 20:24:00 »
Unico inconveniente se si scopre una password si può risalire a tutte le altre
-----------------------------------------------------------
 :) esatto, per questo è indispensabile trasformarla in un md5, che verrà a sua volta trasformato in un successivo md5 al momento dell'inserimento in un form di registrazione, ...praticamente non reversabile.

M.

Offline tomtomeight

  • Global Moderator
  • Fuori controllo
  • ********
  • Post: 30342
  • Sesso: Maschio
  • Gli automatismi aiutano ma non insegnano nulla.
    • Mostra profilo
Re:Sito joomla, scovata la password di admin, avviso l'utente?
« Risposta #9 il: 17 Nov 2011, 20:27:48 »
Ciao mau
Se conosci un metodo per farlo mentalmente.  :)
NEWS DataGrill Xataface Installer (Ver. 1.0.1) per Joomla 3.8.x - DEMO Gestione Magazzino

Offline Snt®hw4u®

  • Appassionato
  • ***
  • Post: 350
  • Sesso: Maschio
    • Mostra profilo
Re:Sito joomla, scovata la password di admin, avviso l'utente?
« Risposta #10 il: 17 Nov 2011, 21:11:58 »
Manca la cultura della sicurezza informatica.
Approva questa affermazione...

Unico inconveniente se si scopre una password si può risalire a tutte le altre

Sì, quella della posta...


Offline Snt®hw4u®

  • Appassionato
  • ***
  • Post: 350
  • Sesso: Maschio
    • Mostra profilo
Re:Sito joomla, scovata la password di admin, avviso l'utente?
« Risposta #11 il: 17 Nov 2011, 21:16:15 »
:) esatto, per questo è indispensabile trasformarla in un md5, che verrà a sua volta trasformato in un successivo md5 al momento dell'inserimento in un form di registrazione, ...praticamente non reversabile.

M.

Sarebbe curioso approfondire il discorso.
Sai darmi qualche dritta? o guida per apprendere?(non sono molto ferrato in materia...)

Ciao

Offline bertoandrea86

  • Appassionato
  • ***
  • Post: 433
  • Sesso: Maschio
  • siti coupongratuiti.com / gruppirock.it
    • Mostra profilo
Re:Sito joomla, scovata la password di admin, avviso l'utente?
« Risposta #12 il: 24 Nov 2011, 16:53:46 »
Ciao, non mi credo attaccante, ne vittima, ne tester, ho solo provato a caso... e non l'avevo mai fatto..

Ho tirato ad indovinare, non era un user del tipo admin, ma del tipo marco, marco.




Non l'avevi mai fatto?
Nulla da criticare, però provare per la prima volta nella vita una password a caso e scovarla al primo colpo è come vincere al superenalotto!  ;D ;D ;D ;D ;D

Offline jeckodevelopment

  • Administrator
  • Instancabile
  • *****
  • Post: 5659
  • Sesso: Maschio
    • Mostra profilo
Re:Sito joomla, scovata la password di admin, avviso l'utente?
« Risposta #13 il: 24 Nov 2011, 18:40:51 »
vi sembrerò poco sensibile, ma avrei preferito vincere al superenalotto! :D

Offline Snt®hw4u®

  • Appassionato
  • ***
  • Post: 350
  • Sesso: Maschio
    • Mostra profilo
Re:Sito joomla, scovata la password di admin, avviso l'utente?
« Risposta #14 il: 25 Nov 2011, 14:20:09 »

Non l'avevi mai fatto?
Nulla da criticare, però provare per la prima volta nella vita una password a caso e scovarla al primo colpo è come vincere al superenalotto!  ;D ;D ;D ;D ;D

Abituato ai pc dei miei clienti che hanno la stessa "sintassi" ho riprovato la medesima cosa..
{siamo talmente coglio... a scegliere le password..}

Comunque:
ho contattato via mail il responsabile del sito, mi ha risposto il realizzatore del sito chiedendomi informazioni per proteggere il sito.
Gli ho esposto che doveva cambiare password, inoltre glio ho suggerito di visitare questo forum, dove avrebbe potuto trovare ulteriori informazioni.

Ora, non ho riprovato ad entrare nel sito, ma penso che abbia già provveduto a cambiare la password.  :)

Ciao

Offline jeckodevelopment

  • Administrator
  • Instancabile
  • *****
  • Post: 5659
  • Sesso: Maschio
    • Mostra profilo
Re:Sito joomla, scovata la password di admin, avviso l'utente?
« Risposta #15 il: 25 Nov 2011, 14:25:33 »
sei stato una persona buona e corretta :D


Offline Snt®hw4u®

  • Appassionato
  • ***
  • Post: 350
  • Sesso: Maschio
    • Mostra profilo
Mi è sembrato giusto farlo, penso soprattutto all'utente e al progetto joomla.

In questo caso avrebbe perso l'utente che gestisce il sito ma ancor di più il progetto joomla di per se, magari qualcuno poteva abbozzare un idea che è un sistema insicuro, quando in realtà non lo è..

Ho trovato questo progetto bello e interessante e condividerlo è qualcosa ancora di più grande.  ;)

Ciao  ;D

 

Host

Torna su