Privacy Guestbook 
Author: Serzio ©Il mio precedente è stato "privatizzato" in quanto non contenente dettagli, ma si sa, io sono un rompiscatole e purtroppo mi trovo male a scrivere sull'answers. Inoltre, secondo me è necessario pubblicare anche le vulnerabilità che vengono scoperte piuttosto che tenerle nascoste. L'unico metodo per prevenire i problemi è "conoscerli". Quindi mi mantengo sul "sintetico" ma espongo il problema per seconda volta in maniera più dettagliata.
Allora veniamo al punto. Al link http://www.unofficialwsx5.com/index.php?topic=816.0 che avevo indicato viene spiegato come fare per riottenere il piccolo problema, oltre che il metodo per scongiurarlo.
Il guestbook.php effettua il salvataggio dei dati in formato XML in un file dal nome pseudocasuale ma ottenibile anteponendo il prefisso "db" al nome indicato "in chiaro" nella pagina del sito web (come indicato in figura):
e posizionato in una cartella specificata durante l'inserimento del widget nella pagina del progetto e che è la root del sito se non viene specificato nulla oppure la /public sull'hosting di win aruba (per non avere i problemi di permessi) ... comunque si tratta di percorsi dai nomi "ricavabili" spesso con qualche tentativo e la perdita di un po' di tempo.
Richiamando il file ottenuto direttamente nel browser si ottiene quanto in figura:
mostrando il file che contiene i commenti nella sua interezza, ma soprattutto con gli indirizzi email di chi ha inserito i commenti "in chiaro" e quindi esponendo tutti gli email address all'invio di spam .... come se non bastasse quello fisiologico degli ultimi tempi.
La medicina?
Quella adottabile da ICM potrebbe essere di utilizzare finalmente un bel mysql. Oppure proporre dei percorsi, per il file del db di testo in xml, più difficili oppure avvisando il uebmaster del problema mediante un alert.
La soluzione adottabile dai uebmaster, l'unica facilmente ottenibile, è di inserire il file del commenti in percorsi dai nomi strampalati e lunghi.
Un sistema che in caso di necessità ho adottato io stesso in diversi casi è stato quello di "racchiudere" il file del db di testo tra un <?php echo "PRRRR!!!"; /* ed un */ ?> e dandogli una estensione .php ... certamente in questo caso andrebbe rivisto il formato di memorizzazione che non rispetterebbe più la sintassi dell' xml e comunque si esporrebbe al problema della injection che andrebbe prevenuta con opportuni controlli.
In questo modo, anche conoscendo perfettamente il nome del file e la sua posizione, richiamandolo non si ottiene altro che .... vabbè, si intuisce. 
Author
Visto che ci siamo, in caso di hosting linux, si può anche usare il .htaccess per inibire la chiamata diretta al file del db di testo mediante le righe
RewriteEngine On
RewriteRule gba3ekkhmg$ http://www.serzio.it/evo9/guestbook2 [R=301,NC,L]
dove gba3ekkhmg è il nome del file xml del mio esperimento e http://www.serzio.it/evo9/guestbook2 è il percorso dove la chiamata verrà rediretta.
Author
Un'altra soluzione valida per win e linux:
..... basta cambiare direttamente nel progetto il cempo del percorso del db e spostare il db manualmente il file in una cartella dal nome più complesso. Ma io userei ugualmente il .htaccess
Buongiorno Serzio,
Grazie per la segnalazione. In realtà eravamo già a conoscenza di questo comportamento del guestbook. Il motivo per cui non abbiamo usato un htaccess è sempre lo stesso: ogni utente utilizza un server diverso dagli altri come impostazioni, oltre al fatto che l'htaccess funziona solo sotto Linux se su Windows non si utilizzano le necessarie estensioni.
In ogni caso sicuramente in futuro il guestbook verrà ridimensionato ed ingrandito perchè è stato usato da tantissimi nostri utenti. La modifica della gestione dei commenti è sicuramente ai primi posti ma non è l'unico cambiamento che abbiamo intenzione di introdurre.
Lascio pubblico il post perchè è sicuramente utile per gli utenti che sono interessati a questo argomento.