Mia email inviata stamattina.
Salve.
Nel vostro interesse vi consiglio di far controllare con massima urgenza questa pagina
http://www.wxdasd.com/asdsda/pdas
che soffre del noto bug di Sql Injection.
Scrivendo una particolare frase al suo interno si ha la possibilità di:
1) Avere la lista di tutti i terminali in vostra assistenza, riparati e non, esponendo dati sensibili.
2) Caricare assembly maligni sul vostro server (si, ci sono realmente riuscito)
3) Avere la lista delle vostre tabelle
4) Possibilità di creare, cancellare utenti, database, tabelle e viste.
5) Molto altro ancora.
Inoltre si è visto chiaramente che il vostro webmaster ha utilizzato gli ObjectDataSource come modulo per estrapolare i dati dal database.
Spero che la mia segnalazione vi sarà utile.
Saluti.