Disclaimer:
Questo post non vuole essere un invito all’hacking di siti web. Le pagine di amministrazione linkate dai motori di ricerca presenti nei “suggerimenti di ricerca” nell’articolo sono così facili da trovare che, penso, sia esagerato definirlo una “pratica di hacking” (infatti molte di esse sono già state hackate e sono vittime dello spam da parte di bot automatizzati 😉 ). Al contrario, questo vuole costituire un avviso ai webmaster ad agli amministratori di sistema a controllare al massimo le loro installazioni e le misure di sicurezza dei loro sistemi.
I motori di ricerca scannerizzano il Web. L’intero Web, e spesso scoprono qualcosa che nessuno dovrebbe vedere.
E’ uno di questi casi: un webmaster dimentica di proteggere tramite password la cartella in cui si trova uno strumento critico per l’amministrazione come phpMyAdmin, un motore di ricerca la raggiunge e la inserisce il link nel suo indice di ricerca.
A questo punto è facile per chiunque scoprire questa falla nella sicurezza: con una semplicissima ricerca su un motore di ricerca come Yahoo! è possibile ottenere 196 risultati (7 Novembre 2008) che portano alle pagine di amministrazione di phpMyAdmin su vari domini, con privilegi root.
La stessa ricerca su Google fornisce 286 risultati, Live Search altri 113 e così via, basta provare altri motori di ricerca per ottenere altre pagine di phpMyAdmin completamente aperte.
Questo (phpMyAdmin) è solo un esempio: ci sono un sacco di altre “parole magiche” da provare a cercare in giro per scoprire che, mentre gli sviluppatori cercano tappare ogni giorno anche la più piccola falla di sicurezza nei loro software, ci sono un sacco di sysadmin che lasciano la porta completamente aperta a chiunque.
Qualcuno vuole suggerire qualche altra ricerca di questo tipo? 🙂