mercoledì 20 febbraio 2008

Sito web del PD: "si può...bucare"


Eh no, non ci posso credere. Me ne andavo in giro per il Web quando sono capitato sul sito del PD (Partito Democratico) e sono stato attirato dalla sua URL:

http://www.partitodemocratico.it/default.asp?c=/gw/templates/default.htm
Mhhhh...mi ricordavo un vecchio post di Raffaele su un modo un po' barbarico di gestire la sicurezza applicativa in ASP.NET (si si amici cari il sito del PD è fatto in ASP.NET) e conoscendo un po' l'ambiente ho fatto due prove:

Mi sono sbagliato ma, toh! ecco quello che compare :-)


Una bella schermata di errore con lo stack trace e addirittura le righe di codice. Il non disabilitare la messaggistica di debug nei siti o nelle applicazioni in produzione è un classico errore di sicurezza applicativa.

E adesso provo con quello giusto:


BOOM: username e password del DB, del web server, e l'IP del DB è pubblico....brrrhhhhhhh!!!!

Che dire: "Errare humanum est, perseverare autem diabolicum"


I link in questo post sono scritti in modo errato di proposito.
Pubblicato da a
Etichette: , ,

7 commenti:

  1. Beh converrebbe almeno non rendere così evidente il mascheramento dell'url... sono riuscito in un attimo a capire qual era la parte che mancava...

    Comunque complimenti ;-)

    Enrico

    RispondiElimina

  2. ho provato e funzia...dopo la segnalazioni di PI quanto durerà? ci si aspetterebbe poco ma ho idea che non sarà così

    RispondiElimina

  3. Confermo, funziona anche dopo la pubblicazione su puntoinformatico.
    Ora tocca vedere quanto ci passa prima che qualcuno faccia qualcosa di brutto e quindi corrano ai ripari.

    A meno che gli sviluppatori del sito abbiano il feed di PI nel loro aggregatore e se ne accorgano prima ;)

    Saluti
    BES

    RispondiElimina

  4. Beh, se non altro hanno avuto il buon senso di non permettere connessioni SQL dall'esterno al DB (che cmq è pubblicato sul web). Geni... sono dei veri geni... :P

    RispondiElimina

  5. Lastknight ha pubblicato anche una caterva di altri siti vuonerabili!!!

    Bellissimo!


    http://www.lastknight.com/2008/02/21/altri-siti-di-partiti-politici-vulnerabili/

    RispondiElimina

  6. Mi sembra che adesso qualcosa abbiano fatto: all'url incriminato risponde il msg
    ERRORE NELL'APERTURA DEL TEMPLATE:

    Ma forse esistono altri url/QueryString potenzialmente pericolosi.
    Aldo

    RispondiElimina

  7. L'errore piu' grave e' stato usare ASP, invece di tecnologie open.

    Per il PD mi sarebbe piaciuto vedere un sito fatto con CMS opensource, era perfetto e dava anche il buon esempio.

    Che delusione :-(

    RispondiElimina

Iscriviti a: Commenti sul post (Atom)