Esempio pratico di sviluppo insicuro: il sito di Veltroni

<< SQL 2008 torna in carreggiata | Home | I miei amici ... >>

Esempio pratico di sviluppo insicuro: il sito di Veltroni

Il carissimo amico David mi ha appena segnalato una chicca fantastica. Lui sa bene che io faccio collezione di chicche come questa.

Parte tutto dalla semplice osservazione di uno dei tanti URL del sito:

http://www.lanuovastagione.it/gw/producer/index.aspx?t=/documenti/indice.htm&tipodoc=94,97,99
Il documento viene passato tramite querystring alla pagina che ne mostra il contenuto .... pazzesco ...

E quindi se scrivo:
http://www.lanuovastagione.it/gw/producer/index.aspx?t=/web.config

vedo cosa? come? siamo sicuri? SIIII, l'intero web.config !!!!!!

Pensavate che questo fosse il peggio? Macché, all'ignoranza non c'è mai fine ...

Errori compiuti da chi ha sviluppato il sito (solo quelli grossi eh, ... altrimenti ci sto fino a Natale):

Il web.config in asp.net non è scaricabile. Questi signori hanno avuto la genialità di inventare un sistema che bypassa il meccanismo built-in di Asp.net.
Hanno usato la SQL authentication invece della Integrated (Windows). Quante volte l'ho detto in sessione che NON va usata...
E se proprio si vuole usare la SQL Authentication è necessario ALMENO usare aspnet_setreg (http://support.microsoft.com/kb/329290/en-us)
Usano impersonation (e già su questo parlo si solito almeno mezzora)
Fanno impersonation di Administrator!!!! Pazzesco ... È necessario creare un utente ad-hoc con i privilegi MINIMI, non massimi!!!!!!!
Hanno scritto le credenziali di impersonation in chiaro nel web.config (vedi punto 3)
[Aggiunto] E poi usare SA è da puro suicidio. Non è SQL Server ad essere vulnerabile se lasci le chiavi sulla porta di casa, e pure aperta!!!

Concludendo

Mi sono limitato, e che ci crediate o no, non ho visitato altro che quelle due pagine di cui ho riportato il link. Perché? Perché sono un white hat e quello che mi basta è la proof of concept.
Alla WPC 2005 ho mostrato come si possa sfondare una rete con 100 volte meno informazioni di queste chicche.

L'esempio portato è talmente clamoroso da non poter neppure essere preso come esempio realistico alla WPC 2007 dove presenterò 8 sessioni sulla sicurezza applicativa.

Purtroppo questo dimostra quanto la sicurezza non sia affatto sentita da una larga parte di maggioranza degli sviluppatori.

La colpa sta nelle scuole, nell'eccesso di presunzione, nella poca umiltà, nell'approssimazione e non continuo perché finirei per scrivere slogan politici che detesto più di ogni altra cosa.

Grazie David, queste si che sono chicche!!!

Print | posted on giovedì 4 ottobre 2007 20:59 |

Feedback

# re: Esempio pratico di sviluppo insicuro: il sito di Veltroni

Se questa è "la nuova stagione", mi sa che prefisco rimanere nella vecchia :-).
Ormai non mi stupisco più di niente...

04/10/2007 21:55 | Antonio Ganci

# re: Esempio pratico di sviluppo insicuro: il sito di Veltroni

@Adrian, grazie per la segnalazione. Immaginavo che un buco così colossale ed evidente anche solo guardando l'URL non potesse essere una primizia assoluta.

04/10/2007 22:08 | Raffaele Rialdi

# re: Esempio pratico di sviluppo insicuro: il sito di Veltroni

Non ho parole, un conto è magari non essere un esperto di sicurezza, un altro è ignorare completamente non solo la sicurezza, ma anche l'architettura, con debug=true asp.net nemmeno usa la cache per gli script, le performance sono orribili....veramente do ragione a Andy quando dice "c'è chi dice che ASP.NET "è lento" e "non scala"". Mah....

Va bene, dopo questa cosa non voto veltroni alle primarie :D :D :D

Alk.

04/10/2007 22:12 | Gian Maria

#

In seguito al meraviglioso post di Raf vorrei segnalare un libricino. Il libro in questione si chiama

04/10/2007 23:14 | ExternalBlogs

# Esempio pratico di SQL Server INSecurity!

Come già riportato da Raf oggi ed ancora prima da Alessio , riporto anche io la bella notizia che è possibile

04/10/2007 23:39 | Impedance Mismatch

# re: Esempio pratico di sviluppo insicuro: il sito di Veltroni

Lorenzo, potrei anche non offendermi :))))

05/10/2007 00:52 | Raffaele Rialdi

# re: Esempio pratico di sviluppo insicuro: il sito di Veltroni

<<<<
In passato provavo a segnalare via email queste cose e ho imparato con grande rammarico che a nessuno gliene frega niente. Oggi non posso far altro che scambiare quattro chiacchere con chi condivide con me la grande passione per lo sviluppo.
>>>>

Svergognare (in senso costruttivo, si spera) pubblicamente queste cose
ha molto più peso secondo me.
Se fossi io il programmatore, a parte il pensare seriamente di cambiare mestiere,
mi sentirei profondamente imbarazzato.

Continua (e continuiamo) a pubblicare sul blog queste cose :)

Ciao,
Antonio

05/10/2007 01:04 | Antonio "tdj" Catucci

# re: Esempio pratico di sviluppo insicuro: il sito di Veltroni

Senza parole...
Se proprio si voleva fare un sistema del genere e se proprio si volevano fare una serie di minchiate così grossolane, forse era il caso di mettere un bell'iffone che impedisse ALMENO di scaricare il web.config :)

05/10/2007 12:33 | Alessandro Sorcinelli

# re: Esempio pratico di sviluppo insicuro: il sito di Veltroni

come evitare questo problema sta a pagina 12, quindi non serve nemmeno leggerlo tutto, del libro che ho vinto agli MVP open days...

ma non mi stupisce più di tanto tempo fa collaborando con un altro team mi hanno proposto di scarbiarsi la passqord e nome utente in chiaro in querystring...

05/10/2007 12:41 | Nostromo

#

La mega-falla di sicurezza nei siti del Centrosinistra

05/10/2007 13:17 | Alberto Falossi

# Non solo sul sito di Veltroni :-)

Non solo Veltroni! Il problema è su tutti molti del Centrosinistra. Alcuni che ho provato:

lanuovastagione.it
dsonline.it
festaunita.it
saperidemocratici.it
italiafrica.it
veltroniperlitalia.it
diregiovani.it

05/10/2007 13:20 | Alberto Falossi

# re: Esempio pratico di sviluppo insicuro: il sito di Veltroni

Adesso sembra che qualcosa si sia mosso.
Mi pare che non sia più possibile visualizzare ne web.config ne file vb!
Almeno queste segnalazioni sono service a qualcosa.... (anche se penso che abbiano messo un semplice IFFONE sui file .config e .vb)

05/10/2007 16:05 | Alessandro Sorcinelli

# re: Esempio pratico di sviluppo insicuro: il sito di Veltroni

eheh Gdg, se così fosse, dimostrerebbero di essere a livelli di cultura generale e conoscenza informatica talmente a zero, da far ridere tutto il mondo.

Se veramente qualcuno avesse voluto sabotare un sito: 1) non sarebbe così fesso da farlo pubblicamente, 2) avrebbe fatto dei danni, 3) lo farebbe da un sito anonimo sparso da qualche parte nel mondo, 4) non avrebbe dato il tempo di mettere alcuna pezza.

Ripeto, gli errori fatti sono talmente pacchiani che non sono neppure usabili come esempio in un aula di corso o in una sessione pubblica.

A quanto dice Alessandro (non ho avuto il tempo di riprovare) questo post è servito a metterci una pezza ma giuro che non voglio sapere come... ho paura di scoprire il peggio.

05/10/2007 20:56 | Raffaele Rialdi

# (In)sicurezza by designe

Leggo questo post sul sito di Raffaele Rialdi e resto senza parole... Leggete e meditate... Giorgio

05/10/2007 21:07 | ZenIT Blog

# re: Esempio pratico di sviluppo insicuro: il sito di Veltroni

Capita purtroppo molto molto spesso di trovare cose del genere... ma qui proprio hai preso la strada della "Full Disclosure" !! :-)

06/10/2007 01:08 | Daniele Muscetta

# re: Esempio pratico di sviluppo insicuro: il sito di Veltroni

sarebbe comunque corretto dare i crediti ha chi ha scoperto inizialmente le problematiche. grazie

07/10/2007 00:58 | Alessio Marziali

# re: Esempio pratico di sviluppo insicuro: il sito di Veltroni

"un bell'iffone che impedisse ALMENO di scaricare il web.config :)"

Almeno quella sembrano averlo messo. Grande Raf ... mi hai risollevato la domenica. :)

07/10/2007 18:04 | Andrea

# Siti web insicuri

Ho appena letto questo articolo che pone l'attenzione sulla sicurezza nei siti web. Spesso infatti sono configurati senza tener conto delle minime misure di sicurezza. Nell'esempio in questione si illustra come in un sito web (mal configurato) sia possibi

08/10/2007 16:35 | FiNeX.org

# re: Esempio pratico di sviluppo insicuro: il sito di Veltroni

Ah allora era proprio un bel Iffone :-D
E neanche hanno usato l'overload con ignoreCase....

09/10/2007 14:25 | Michele Bersani

# re: Esempio pratico di sviluppo insicuro: il sito di Veltroni

@Michele. A questo punto mi aspetto si scateni la ricerca del sorgente dove c'è la riga con l'IF sbagliato ... LOL!
@Raffaeu. Ti assicuro che non ho neanche più fatto un hit su quel sito ... sinceramente non c'è gusto e temevo fortemente in una pezza così terribile. La sicurezza NON si può aggiungere!

09/10/2007 15:56 | Raffaele Rialdi

# re: Esempio pratico di sviluppo insicuro: il sito di Veltroni

Pazzesco, questo riprova (se ancora ce ne fosse bisogno) che avvertire non serve a nulla.
Grazie Emanuele, grazie Roberto!

22/02/2008 01:08 | Raffaele Rialdi

# Libronata &laquo; Terendo&#039;s Blog

Libronata &laquo; Terendo&#039;s Blog

04/03/2010 13:35 | Pingback/TrackBack

# Libronata

Un paio di mesi fa, che è comunque un tempo più recente rispetto al mio ultimo post , ho fatto un mega

14/04/2010 11:00 | Francesco V. Buccoli

Comments have been closed on this topic.

Web Log di Raffaele Rialdi

My Links

News

Archives

Post Categories

Image Galleries

Blogs

Links