Avevo deciso si stare buono buonino, visto l’inizio della mia collaborazione col Punto Informatico, ma visto che iniziano loro posso mettermici anche io…
Sito web del Partito Democratico bucabile? Dopo aver letto il blog di Roberto Scaccia, che ha scoperto che con due click del mouse riesco a visualizzare nel browser il file web.config (il file di configurazione della web application del PD in cui sono contenuti i codici di access) non ci sono un gran che di dubbi… Ma per par condicio sono costretto a confessare che non sono né gli unici né, forse, quelli messi peggio.
Un’oretta a giochicchiare (nulla di stratosferico, sia chiaro) e troviamo un po’ di altre realtà da controllare, tra il ludico e l’assurdo…
Iniziamo con i Radicali che sembrano proprio, grazie ad un xss nella forma più grezza desiderare “Paperino al Governo”… Buon per loro, visto che potrebbe essere meno peggio di tante altre scelte che abbiamo a disposizione…
Oltretutto esistono filtri in ballo che rendono difficile utilizzare javascript nella pagina. Il tutto si riduce quindi a qualcosa di semplicemente goliardico da parte di chi dovesse usare la pagina…
Sempre il Partito Democratico sembra avere ancora enormi problemi anche di URL sanitization e richiama fantomatici form quando appare un apicino strategico…. Che dire, tra questo ed il problema segnalato da Scaccia credo proprio che siano tempi duri per DOL, la società che ha curato la realizzazione e di cui trovate estremi di riferimento alla pagina del loro sito. Potete provare a sentirli in merito alle politiche di secure coding…
Molto, molto molto più pericolose invece le vulnerabilità sul sito dell’UDEUR che decide di spiegarci con un esempio da manuale cosa sia la SQL Injection, riportandone una perfetta implementazione direttamente nel sito… Che dire?
One Apostrophe to rule them ALL?!?!?!
In questo caso le voragini di Sicurezza sembrano da imputare a Neikos, la società di Senigallia che potete contattare a questi recapiti.
Si potrebbe andare avanti dicendo che anche in casa Rauti esistono problemi di SQL injection, ma probabilmente qui hanno dalla loro il fatto che il sito web è stato fatto da un piccolo studio, quel Pino Mannarino che pare essere il titolare di StyleFactory.
Ne ho ancora un bel po’ in canna, ma vediamo se questi sono per ora sufficienti…
Sia chiaro, non sono per nulla tecniche da hacker, ma semplici e banali apicini posizionati a destra e manca che qualunque idiota (me compreso) può mettere e destra e sinistra…
Per il resto fa impressione vedere come società come DOL, Neikos e StyleFactory possano programmare all’alba del 2007 siti che non abbiano (non dico che le società non l’abbiano, constato non l’hanno i siti web) la benchè minima implementazione non solamente della sicurezza web ma anche e semplicemente del secure coding e dell’input sanitization…
Che dire? “Uelcom tu Itali, spaghetti, pizza, arp spoofing e web application p0rn”.
Al solito lasciate commenti o contattatemi :).
P.S. Ciao a tutti quelli che arrivano qui partendo dai link del Punto Informatico
P.P.S. Ho eliminato i link diretti alla vulnerabilità… Ma se mettete un apicino qui e la la ritrovate :)
bucabile, vulnerabilità, partito, udeur, rauti, partito democratico, pd, neikos, dol, sito web
Technorati Tags: bucabile, vulnerabilità, partito, udeur, rauti, partito democratico, pd, neikos, dol, sito web
Post Simili
»(in)sicurezza/ La politica dell’ignoranza
»Marco D’Itri e la Censura
»Ho fatto il mio dovere…
»Politicamente sono là, lontano da qui e da lì…
»Martedì 5 Febbraio, appuntamento a Milano
»Schneier insegna come combettare il terrorismo…
»Manifesto (non) elettorale per Milano
»Sul Punto Informatico le mie tre vulnerabilità
Esperto di Sicurezza sembra pretenzioso... Uffa! Diciamo allora piccolo blog di intrattenimento di Matteo G.P. Flora (aka LK) sperduto passeggero della rete, poeta, (poco) santo, e navigatore... E se proprio siete 
21 Feb 08
2:13 pm
E questi sono “solo” i siti di partito…se guardiamo siti istituzionali di ASL, Comuni, Ospedali ecc… troviamo anche di peggio…
21 Feb 08
2:40 pm
Personalmente preferisco una responsible disclosure in questi casi.
La gente non scrive codice sicuro, lo so, ci lavoro ogni giorno. Non lo sa scrivere e spesso non vuole neanche scriverlo.
Però io sono convinto che la disclosure debba seguire sempre il patching e la collaborazione del mantainer dell’applicazione (certo, se in tempi ragionevoli non fa remediation allora è un altro caso).
Il tutto con tante dosi di IMHO ovviamente
21 Feb 08
2:43 pm
Hihi….geniale….e pensare che volevo proporre un intervento tra qualche giorno sulla sicurezza e la privacy proprio ai circoli del pd….sarà meglio che lo anticipi di qualche giorno. ;)
….una dritta….prova ad andare a spulciare il sito dei forum del pd….trovi il pulsantone in alto alla home del pd….hanno detto che li hanno tirati su degli esperti di social networking….il mio aiuto e quello di altri ragazzi con un minimo di esperienza era perciò superfluo….direi risultato di qualità….sopratutto sanno cosa vuole dire usabilità e aiuti ai meno esperti….mi sa che hanno bisogno di una scossetta :P
21 Feb 08
4:08 pm
Una domanda da pefetto ignorante: se uno smanettone qualsiasi gli (=ai partiti) mettesse su un server web apache/php/mysql con joomla o wordpress o analogo seguendo la guida nei capitoli “quick start”, non arriverebbero a qualcosa di piu’ sicuro di quello che hanno?
(sicuramente spenderebbero meno!)
ilcomiziante
21 Feb 08
4:15 pm
Matteo perchè dici di contattarti quando poi non rispondi? :-)
21 Feb 08
5:06 pm
@thesp0nge
Sappiamo tutti che non solamente sei dannatamente competente ma ache, di fondo, un’anima nobile. E io per primo ti ammiro per ambedue le cose.
Il tuo lavoro nella code analysis è invidiabile…
Ma vedi… Qui c’è gente che spende in campagna elettorale i miliardi. Letteralmente. E che, alla fine, li esigerà da noi con rimborsi da elezioni.
Permetti che un po’ di sano e buono sputtxxxxxnto sia il minimo che un povero cittadino possa fare?
Sono anche io, e i miei release lo dimostrano, per la disclosure responsabile. Ma forse non con chi ci crede solamente dei polli da spennare…
Poi, come al solito, IMHO…
21 Feb 08
5:09 pm
Fratepietro
Non è mica colpa mia se Google interpreta correttamente la tua mail e ti mette in spam… :)
ghghghghghghg
21 Feb 08
5:19 pm
Scusami L’OT ma anche la mia email è finita in spam?
Sarà per il footer con i feed del mio blog in rotazione? ;)
(Ti avevo segnalato un piccolo refuso)
21 Feb 08
11:08 pm
@LK: Mat, se il motivo è questo diciamo che spuxxani chi fa il sito non tanto il partito politico. Anyway, lo spuxxanamento più grande ce l’hanno tutti presentandosi alle elezioni dimostrando quindi di non avere un briciolo d’amor proprio, ma questo è un altro discorso.
Poi boh, intanto grazie per i complimenti, fin troppi. Di sicuro possiamo partire da questi screenshot per sensibilizzare chi sta leggendo su un punto. <i>sanitize</i> dell’input e già molti fastidi te li togli e <i>coding difensivo</i> sviluppate codice pensando che sia sempre esposto ad attacchi.
21 Feb 08
11:20 pm
@thesp0nge
Sante parole, le tue ultime, sante parole…
Quando mi fai un bel post sul Coding Difensivo in italiano da lanciare su queste pagine e non solo? :)
22 Feb 08
3:08 am
LK, a vedere queste cose a me viene un dubbio d’altra natura… ma tu questi “giochi” ,anche alla luce delle nuove fastidiose modifiche legislative contro la lotta al cybercrime, le fai a cuor sereno da casa tua? E’ una domanda seria.
Chiedo, xche a uno competente l’xss dei radicali non fa gran caldo ne freddo, ma potrebbe esser preso in ben altro modo. Peggio ancora i reiterati tentativi di injection nel tentativo di trovare qualcosa.
E in generale sappiamo che xss puo anche avere fini devastanti.
Peggio ancora un SQL injection.. certo ovviamente leggo il tuo disclaimer, ma un IDS [1] potrebbe pensarla diversamente. E anche un sysadm che si legge i log che li gira a quelli che poi ti fanno alzare alle 6 del mattino .. :P
[1] si ok e’ fantascienza che abbiano un IDS.. certo il webmaster non ne gestisce uno… ma chissa, magari il sito e’ hostato in una server farm che invece ne fa uso.
22 Feb 08
9:31 am
@Bubba
Passa di qui alle 10 e vedrai le nuove normative come si modifichano… Ho un articolo in “coda” :)
24 Feb 08
9:08 am
Caspita…mi vien da piangere quasi….se a questo post uniamo quello delle spese non pagate dal vaticano,se non dovessi fare la tesi spegnerei il computer e andrei a farmi un giro che è meglio (diceva quattrocchi)….