photo credit: Samuel Judge

No, non voglio.
Oddio, non che Fassino mi stia simpatico, per la cartià di Dio, ma il problema è un altro…

Il problema è che il Blog l’hanno fatto i ragazzi del Cannocchiale ed io li adoro.
Davvero.

Non quanto adori Simplicissimus, secondo me i migliori in italia come qualità dei contenuti e stile, ma mi piacciono un sacco.
Per Simplicissimus è un’altra storia… Prima o poi troverò tempo e/o coraggio per vedere magari di spostarmi da loro… Sarebbe un onore…

Comunque sia mi piace il lavoro che hanno fatto quelli del del Cannocchiale e mi piace come lo portano avanti, mi piace come si stanno muovendo.
E quindi? E quindi uscire con delle vulnerabilità mi da fastidio… Facciamo così: stavolta propongo solo errori di input sanitization, ok?

• Questo che ci dice tante cose interessanti, come il fatto che il Debug Mode è ON, che il codice è in VB.Net…
• Oppure questo che oltre a svelare la path del server, se avete avuto modo di programmare in ASP.NET e di vedere come funzionano le configurazioni potreste trovare fastidioso.

Ma porcapaletta ragazzi! Anche voi? :(

Technorati Tags: fassino, sito web, blog, cannocchiale

Avevo deciso si stare buono buonino, visto l’inizio della mia collaborazione col Punto Informatico, ma visto che iniziano loro posso mettermici anche io…

Sito web del Partito Democratico bucabile? Dopo aver letto il blog di Roberto Scaccia, che ha scoperto che con due click del mouse riesco a visualizzare nel browser il file web.config (il file di configurazione della web application del PD in cui sono contenuti i codici di access) non ci sono un gran che di dubbi… Ma per par condicio sono costretto a confessare che non sono né gli unici né, forse, quelli messi peggio.

Un’oretta a giochicchiare (nulla di stratosferico, sia chiaro) e troviamo un po’ di altre realtà da controllare, tra il ludico e l’assurdo…

Iniziamo con i Radicali che sembrano proprio, grazie ad un XSS nella forma più grezza desiderare “Paperino al Governo”… Buon per loro, visto che potrebbe essere meno peggio di tante altre scelte che abbiamo a disposizione…
Oltretutto esistono filtri in ballo che rendono difficile utilizzare javascript nella pagina. Il tutto si riduce quindi a qualcosa di semplicemente goliardico da parte di chi dovesse usare la pagina…

Sempre il Partito Democratico sembra avere ancora enormi problemi anche di URL sanitization e richiama fantomatici form quando appare un apicino strategico…. Che dire, tra questo ed il problema segnalato da Scaccia credo proprio che siano tempi duri per DOL, la società che ha curato la realizzazione e di cui trovate estremi di riferimento alla pagina del loro sito. Potete provare a sentirli in merito alle politiche di secure coding…

Molto, molto molto più pericolose invece le vulnerabilità sul sito dell’UDEUR che decide di spiegarci con un esempio da manuale cosa sia la SQL Injection, riportandone una perfetta implementazione direttamente nel sito… Che dire?
One Apostrophe to rule them ALL?!?!?!
In questo caso le voragini di Sicurezza sembrano da imputare a Neikos, la società di Senigallia che potete contattare a questi recapiti.

Si potrebbe andare avanti dicendo che anche in casa Rauti esistono problemi di SQL injection, ma probabilmente qui hanno dalla loro il fatto che il sito web è stato fatto da un piccolo studio, quel Pino Mannarino che pare essere il titolare di StyleFactory.

Ne ho ancora un bel po’ in canna, ma vediamo se questi sono per ora sufficienti…

Sia chiaro, non sono per nulla tecniche da hacker, ma semplici e banali apicini posizionati a destra e manca che qualunque idiota (me compreso) può mettere e destra e sinistra…
Per il resto fa impressione vedere come società come DOL, Neikos e StyleFactory possano programmare all’alba del 2007 siti che non abbiano (non dico che le società non l’abbiano, constato non l’hanno i siti web) la benchè minima implementazione non solamente della sicurezza web ma anche e semplicemente del secure coding e dell’input sanitization…

Che dire? “Uelcom tu Itali, spaghetti, pizza, arp spoofing e web application p0rn”.

Al solito lasciate commenti o contattatemi :).

P.S. Ciao a tutti quelli che arrivano qui partendo dai link del Punto Informatico
P.P.S. Ho eliminato i link diretti alla vulnerabilità… Ma se mettete un apicino qui e la la ritrovate :)

bucabile, vulnerabilità, partito, udeur, rauti, partito democratico, pd, neikos, dol, sito web

Technorati Tags: bucabile, vulnerabilità, partito, udeur, rauti, partito democratico, pd, neikos, dol, sito web