Questo messaggio di errore dettagliato sul sito Web di DOT è un problema di sicurezza?

19

Stavo cercando un modulo sul sito web del Dipartimento dei trasporti degli Stati Uniti e sono giunto a una pagina che mi ha fornito un errore, con un rapporto di debug completo e una traccia dello stack.

Spero che tu possa ottenere lo stesso risultato andando anche alla pagina: link

In caso contrario, ho incluso due schermate della pagina (non si adattava a 1)

Ciò può comportare una violazione della sicurezza o è un non-problema (solo un inconveniente e una pagina non professionale)?

Quali informazioni sensibili sono presenti nella pagina e come possono essere sfruttate?

Mi sto chiedendo da un punto di vista puramente accademico e non ho intenzione di tentare di entrare illegalmente nel sito del DOT.

    
posta CodyBugstein 09.06.2014 - 12:17
fonte

4 risposte

31

Il database Oracle back-end di DOT è inattivo a causa di ORA-27101.

ORA-27101 ha una bella spiegazione qui con un utile commento del lettore che afferma che è successo a loro perché il Il registro eventi di Windows era pieno.

Dall'output, puoi imparare che hanno Oracle, Java JDBC, Drupal, ColdFusion. Vedi anche qualche codice SQL. Con quella conoscenza puoi iniziare a scavare per le vulnerabilità in quei prodotti / tecnologie.

L'output significa principalmente che l'amministratore del database DOT avrà una giornata calda e che la pagina dovrebbe tornare presto. Sentiti libero di informare l'amministratore come indicato nella pagina.

    
risposta data 09.06.2014 - 13:41
fonte
11

Questo messaggio è not un problema di sicurezza da solo. È solo un messaggio Ma ti dà molte informazioni che non dovresti ottenere normalmente. Con queste informazioni puoi iniziare a cercare attraverso exploit-db e offensive-security se non hai familiarità con la scrittura di exploit per conto tuo.

    
risposta data 09.06.2014 - 14:23
fonte
6

Direi che questo è in realtà un problema di sicurezza, dal momento che non impediscono l'esposizione di un messaggio di errore dettagliato. Ciò potrebbe indicare che con uno sforzo sufficiente, è possibile replicare tale comportamento da qualche altra parte (provocando errori) e quindi raccogliere molte informazioni sulle loro tecnologie e configurazioni.

    
risposta data 10.06.2014 - 00:12
fonte
-3

Potrebbe rappresentare meno lavoro nel tentativo di hackerarli tramite l'iniezione SQL, ma nulla qui facilita l'accesso al loro database, questo è quello che penso.

    
risposta data 09.06.2014 - 21:37
fonte

Leggi altre domande sui tag