Site da RIAA é para rir mesmo…

Hoje vi que o site da RIAA (www.riaa.org), aquela que costuma fechar os serviços P2P tais como o Napster e outros… tem o seu site um em ColdFusion e é vulnerável, vulnerável… Uhh!.

Mês passado ele foi vítima de um DDoS e ficou fora do ar por algumas horas. Não precisava de tanto, bastava conhecer um pouco mais de ColdFusion e ver que eles deixaram aberto um dos piores erros em se tratando de segurança em sites que usam ColdFusion: SQL Injection…

Só para se ter uma noção do que se pode fazer no site deles:

http://www.riaa.org/News_Story.cfm?id=524;ALGUMA COISA ERRADA? :o)

De qualquer forma mandei um e-mail para o webmaster deles sugerindo algumas mudanças na query para se proteger dessa coisa feia. Será que eles já botaram ordem na casa? Confiram vocês mesmos.