[ml] And More Advanced SQL Injection...

Salve a tutta la lista,

sono lieto di annunciare l'uscita di un WhitePaper scritto by me.
Beh e' in inglese ma spero di farne presto la traduzione in italiano.
scaricabile qui http://www.wisec.it/docs.php 

Titolo:
"...and More Advanced Sql Injection
SiXSS, SiHRS and the Client Side SQL Injection"

Abstract:
"How much a Sql Injection is a hard vulnerability?
It is supposed to be a way of gaining server side informations,
execution of arbitrary commands, gaining of admin privileges in a web
based forum and so on..
In short SQL Injection is supposed to be a server side vulnerability but
sometimes it could be a client side one too. 
Public and home-made CMS (Content Management System) are widely used on
web servers, for a lot of reasons; one reason for all is text and URLs
indexing and retrieving.
This paper addresses a couple of alternative ways of using SQL
Injection. 
Let's suppose we are the developers of a CMS (Content Management System)
and this CMS was used by a bank...
Let's suppose we accidentally left a SQL Injection vulnerability on a
page.
But wait! No problem! We created a user with no file permissions and so
on, no sensitive information on the database, no web forum and nothing
left on the server...
It may still remain some problems..."

I commenti sono ben accetti...

Colgo inoltre l'occasione per dire che nel mio poco tempo a disposizione
ho appena messo on line un sitarello dove mettere un po' di
documentazione personale da pubblicare. www.wisec.it (pesantemente Under
Construction il che vuol dire che e' solo una copertina per ora).

All'interno di wisec c'e' un progetto chiamato The Wiki Security
Project  se vi va dateci un'occhiata. A chi eventualmente fosse
interessato approfondire puo' tranquillamente contattarmi anche in
privato.

Saluti
Stefano


....----oOOo-------oOOo----....
Stefano Di Paola
Software Engineer
stefano.dipaola_at_wisec_dot_it
stefano.dipaola1_at_tin_dot_it
--------------------------------