SQL Injection e Ms UrlScan 3.0 beta

3 July 2008 – 15:37

Da un periodo a questa parte ho vissuto sulla mia pelle quei simpatici attacchi chiamati SQL Injection. Può capitare di avere un pò di siti web on-line e non capire da dove cappero arriva l’attacco e in quale pagina c’è la vulnerabilità, soprattutto se siete Web Designer e non Sviluppatori puri.

Ho trovato molto ultile questo nuovo programma di Microsoft, un filtro ISAPI da installare su IIS. Non và bene perciò se avete il sito web in hosting presso una società esterna.

La cosa fantastica è il file di log, segna l’ora, l’ip, la regola usata per bloccare, la pagina incriminata e l’url intera!

Si chiama UrlScan 3.0 ed è in beta, attualmente.

Scaricate il file dal link qui sopra ed eseguitelo. Il programma di installazione creerà una cartella chiamata “UrlScan” in “C:\WINDOWS\system32\inetsrv\”. Al suo interno 2 file ed una cartella:

  • urlscan.dll
  • urlscan.ini
  • logs

Automaticamente tutti i vostri siti web saranno protetti da questo filtro ISAPI. Decidiamo ti abilitarlo solo su alcuni siti web, anche perchè blocca Wordpress 2.5.1 (vulnerabile?).

Rimozione del filtro ISAPI da tutti i siti

  1. Apriamo la console di IIS > Nome del server > Siti Web e click col destro
  2. Selezioniamo la voce “Propietà“
  3. Andiamo alla linguetta “Filtri ISAPI”
  4. Selezioniamo la voce “UrlScan”
  5. Premiamo il tasto “Rimuovi”
  6. Chiudiamo tutto con “Ok”, “Ok”
  7. Riavviamo IIS da cmd “iisreset”

Ok, abbiamo rimosso UrlScan da tutti i siti.

Facciamo ora l’operazione inversa sul sito web che vogliamo proteggere. Possiamo creare una configurazione comune per tutti i siti oppure delle configurazioni ad-hoc per ogni sito. Nel secondo caso basta creare delle copie dei file urlscan.dll, urlscan.ini e logs (controllate i permessi di scrittura di questa cartella).

Aggiungiamo ora il filtro ISAPI al nostro sito web www.pippo.it

  1. Apriamo la console di IIS > Nome del server > Siti Web > www.pippo.ir e click col destro
  2. Selezioniamo la voce “Propietà“
  3. Andiamo alla linguetta “Filtri ISAPI”
  4. Premiamo il tasto “Aggiungi”
  5. In nome filtro scriviamo “UrlScan” (senza virgolette)
  6. In eseguibile scriviamo “C:\WINDOWS\system32\inetsrv\urlscan\urlscan.dll” (senza virgolette)
  7. Chiudiamo tutto con “Ok”, “Ok”
  8. Riavviamo IIS da cmd “iisreset”

Ora possiamo divertirci con il file .ini che si trova in “C:\WINDOWS\system32\inetsrv\urlscan”

Link utili

P.s.

Un grazie a Paperino per il supporto e la pazienza!

By Shance | Posted in Blog, Server, Stress, Strumenti | Tagged , , , | Comments (1)

Wi-fi a Piacenza

28 June 2008 – 9:00

Leggo questa mattina sulla Libertà con grosso piacere questa iniziativa del Comune di Piacenza: Vola in Internet con Piacenza Wi-Fi.

Aree di connessione pubblica per navigare in libertà
Il Comune di Piacenza ha predisposto sei zone Internet in vari punti della città.
È il servizio Piacenza Wi-Fi (Wireless Fidelity) che assicura la connessione a Internet senza fili gratuita, a banda larga, tramite computer portatili, palmari e telefoni cellulari dotati di scheda wireless.

COME REGISTRARSI
Per utilizzare il servizio occorre registrarsi, presentandosi con un documento valido presso:
- l’Ufficio Relazioni con il Pubblico-Informagiovani in piazza Cavalli (cortile di palazzo Gotico)
dal lunedì al venerdì dalle 8.30 alle 13 e dalle 15 alle 18; giovedì orario continuato 8.30–18, il sabato dalle 9 alle 12.30.
Orario estivo dal 14 luglio al 24 agosto 2008:
dal lunedì al venerdì dalle 8.30 alle 13 e dalle 15 alle 18, giovedì orario continuato dalle 8.30 alle 18, sabato dalle 9 alle 12.30.
- la Mediateca della biblioteca comunale “Passerini Landi”, in via Carducci
chiusa dal 4 al 16 agosto 2008 - chiusura straordinaria il 5 luglio.
dal 2 gennaio al 30 giugno
lunedì dalle 14.30 alle 18.30; martedì e giovedì dalle 9 alle 13;
mercoledì e venerdì dalle 9 alle 13 (attività con scuole);
martedì, mercoledì, giovedì e venerdì dalle 14.30 - 18.30;
sabato dalle 10 alle 16.
dal 1° luglio al 31 agosto
lunedì chiuso; martedì, mercoledì e giovedì dalle 9 alle 13 e dalle 14.30 alle 18.30; venerdì e sabato dalle 9 alle 13.

By Shance | Posted in Avanti, Life, Strumenti | Tagged | Comments (0)

Comprare scarpe Nike ID in Internet

26 June 2008 – 20:17

Ho scoperto da pochissimo la possibilita’ di acquistare direttamente le scarpe sul sito Nike.com e configurare anche i vari colori e i materiali da utilizzare.

La scarpa che create via web infatti puo’ essere addirittura “unica”, le possibilita’ di scelta sono molteplici, il colore interno della fodera, il colore delle stringhe o il simbolo Nike….

Abbiamo ordinato l’8 giugno, la consegna era prevista in 4 settimane vista la particolarita’ del modello. Sono arrivate questa sera, quindi in anticipo.

Il risultato e’ stupefacente, qui sotto la nostra creazione personale. Cliccate per ingrandire e…. cosa ne pensate?

By Franco | Posted in Comiche, Life | Tagged , , | Comments (0)

Chiavetta Usb Momo Design e Mac - Test velocita’ con Tre

22 June 2008 – 21:15

Stiamo provando la chiavetta Momo Design per un cliente, la deve utilizzare con Leopard su un iMac. Sono sempre un po scettico circa gli apparati USB, preferisco un collegamento LAN, Wireless oppure via Bluetooth, forse mi sono scottato in passato con i maledetti economici modem Usb sui Pc.

Questo apparato invece e’ molto valido e bello esteticamente, funziona senza problemi e la connessione e’ stabile.

Verificate che la chiavetta, all’atto dell’acquisto, sia compatibile con Mac. Io l’ho presa in prova, purtroppo non era compatibile, ma ho seguito questa procedura per aggiornare i driver. Avete bisogno di un Pc per farlo, quindi se non lo avete a disposizione, verificate sulla scatola che sia ben specificato che sia compatibile con Mac, oppure cambiate modello di chiavetta all’atto della stipula del contratto!

Una volta inserita nella porta USB, Leopard vi chiedera’ se volete utilizzare la nuova interfaccia Modem H3G, voi semplicimente dite di si, e quando si aprira’ la finestra Network, semplicemente premete “applica” in basso a destra nella pagina.

Scaricate quindi il software di gestione (dovete avere la possibilita’ di connettervi con un altro sistema, via Wireless o Lan, purtroppo non sono riuscito a farla funzionare senza il software di Tre) decomprimetelo, doppio clic sul file .DMG, trascinate l’icona di “3″ nelle applicazioni, ora e’ installato.

Tutte le volte che vi volete collegare, dovete usare il software in questione, che vi permette anche di tenere sotto controllo i consumi se avete un piano dati oppure a tempo.

Il software vi permette di scegliere appunto le varie soglie e vi avvisa al raggiungimento di quella che avete impostato, sia a tempo che a volume di dati. Scegliete anche se avete un profilo “DATI” o “NORMALE” , questo e’ importante, per poter utilizzare le varie opzioni tariffarie, ad esempio NAVIGA3.

Come al solito ho fatto il mio test su speedtest.net, ero copertura HSDPA ma probabilmente la mia “cella” era un po affollata, in ogni caso, ottimo risultato.

By Franco | Posted in Adsl, Apple, Cellulari, Driver, Life | Tagged , , | Comments (1)

Asus X51RL-AP195D

21 June 2008 – 1:44

Una nostra lettrice ha acquistato il portatile Asus X51RL-AP195D . Siccome ha ancora a disposizione una licenza di Windows Xp , l’ha ordinato senza sistema operativo.

Cercavamo un Pc portatile a basso costo ma con prestazioni discrete, a breve una prova dettagliata di questo modello.

Intanto vi faccio notare un particolare nella foto qui sotto…. il tasto in questione si addice perfettamente ad una delle passioni della nostra amica…

By Franco | Posted in Life | Tagged , | Comments (5)

Safari 3.1.2

20 June 2008 – 9:52

Questa notte, mentre facevo tutt’altro, è uscita la versione 3.1.2 di Safari. ;)

Ehm… aveva già scritto Franco, è che non mi avvisa quando scrive i post. Uffa.

By Shance | Posted in Apple, Stress | Tagged , | Comments (1)

Apple chiude falle in Safari per Windows

20 June 2008 – 1:55

Siamo sicuri? Ora si puo’ usare tranquillamente? Conoscete qualche sito dove effettuare i test?

Chiedo, siccome Apple non rilascia mai nello specifico le spiegazioni sui bugfix, ero curioso di sapere se avevano tappato il problema del “carpet bombing” , decisamente pericoloso.

Microsoft hai chiuso invece il buchino di Internet Explorer, che permetteva insieme con il baco di Safari, di fare un “casino mostruoso” sul Pc della vittima?

By Franco | Posted in Borsite, Piccì & Apple, Stress | Tagged | Comments (3)

iPhone e Tim

20 June 2008 – 1:17

Finalmente oggi e’ apparsa la pagina, gia’ da qualche giorno registrata ma protetta da una password, per l’offerta commerciale di TIM riguardo all’iPhone.

Volete essere tra i primi ad averlo? Registratevi gratuitamente!

Come al solito Tim e Vodafone staranno aspettando le rispettive mosse commerciali per i piani in abbonamento. Ora si sa solo che sara’ venduto con profilo ricaricabile a 499 euro per la versione 8GB e 569 euro per la versione 16GB, disponibile anche “in bianco”.

Ho un pensiero fisso dal 9 Giugno. Ne Tim ne Vodafone hanno detto che il telefono sara’ SBLOCCATO (nel senso che posso ad esempio infilare una SIM della Wind o di Tre senza problemi) si parla solo di profilo ricaricabile. Tutte le persone da me interpellate hanno detto che sara’ SBLOCCATO, ma io non lo vedo scritto da nessuna parte… Le voci non mi interessano, gli informatori neppure. VOGLIO scritto ben chiaro sui rispettivi siti internet di Vodafone e Tim che il telefono sara’ libero da vincoli di SIM , altrimenti col cavolo che do 100 euro di caparra (negozi Vodafone) oppure lascio anche il mio codice fiscale per la prenotazione. Per che cosa? Per vedere una mail con scritto : “Ecco Franco, il tuo iPhone e’ disponibile, passa a ritirarlo bla bla bla…”. Siate chiari per favore, cosi’ decido se e dove destinare la quattordicesima….!!!

By Franco | Posted in Apple, Life, Telecom, iPhone | Tagged , | Comments (1)

Mac Touchscreen

18 June 2008 – 22:23

Ma… qualcuno non aveva detto che…. mi sembra pero’…..

(Either JavaScript is not active or you are using an old version of Adobe Flash Player. Please install the newest Flash Player.)

(Either JavaScript is not active or you are using an old version of Adobe Flash Player. Please install the newest Flash Player.)

(Either JavaScript is not active or you are using an old version of Adobe Flash Player. Please install the newest Flash Player.)

Noooooo!!! Ma allora funziona davvero? Lo posso montare? Posso comprare il touchscreen a parte e installarlo io? Cavolo che bello!

Fantastico quando lo smonta… ritorna tutto come prima, una USB collegata e via….

By Franco | Posted in Apple, Avanti, Life | Tagged , , | Comments (0)

Firefox 3.0 - Download day -

18 June 2008 – 1:08

Ne avevamo gia’ parlato qui , cosa state aspettando?

Download Day - Italian

Se volete appendere al muro un bel certificato di riconoscimento , come questo qui sotto , dopo aver scaricato la nuova versione 3.0 di Firefox, potete andare qui.

By Franco | Posted in Life, Web | Tagged | Comments (1)
Copyright © 2007 sandeisacher. All rights reserved.