Non è tanto una vulnerabilità tecnica, quanto piuttosto una pratica sciatta della sicurezza da parte di una società di consulenza sul web design. Usano un CMS che hanno aumentato con un accesso di amministratore. Come succede, gli utenti admin sono memorizzati in una tabella e il campo password è in chiaro.
Dopo aver visto quale username / password hanno usato per il sito del mio cliente, sono sicuro al 99% che sia la stessa password su altri siti che hanno progettato. Un dozzina siti web nel loro portafoglio ha un modulo di accesso amministratore identico, ma ovviamente non posso testare legalmente se il sito è vulnerabile, perché l'unico modo per farlo sarebbe quello di tentare effettivamente di accedere.
Sarebbe ragionevole agire per contattare questi siti individualmente, dire loro del mio sospetto e suggerire come possono risolverli?
Ancora più importante, mi sto mettendo a rischio in questo modo? I proprietari più intelligenti capiranno che se sono vulnerabili, lo sono anche gli altri siti nel portfolio e potrebbero fare cose cattive, allo stesso tempo in cui dico a quei siti che capisco come accedere alle loro aree di amministrazione. Sembra che le dita possano essere puntate verso di me. Qualche suggerimento?