posts - 644, comments - 1970, trackbacks - 137

My Links

News

Raffaele Rialdi website

Su questo sito si trovano i miei articoli, esempi, snippet, tools, etc.

Archives

Post Categories

Image Galleries

Blogs

Links

Esempio pratico di sviluppo insicuro: il sito di Veltroni

Il carissimo amico David mi ha appena segnalato una chicca fantastica. Lui sa bene che io faccio collezione di chicche come questa.

image

Parte tutto dalla semplice osservazione di uno dei tanti URL del sito:

http://www.lanuovastagione.it/gw/producer/index.aspx?t=/documenti/indice.htm&tipodoc=94,97,99
Il documento viene passato tramite querystring alla pagina che ne mostra il contenuto .... pazzesco ...

E quindi se scrivo:
http://www.lanuovastagione.it/gw/producer/index.aspx?t=/web.config

vedo cosa? come? siamo sicuri? SIIII, l'intero web.config !!!!!!

Pensavate che questo fosse il peggio? Macché, all'ignoranza non c'è mai fine ...

image

 

Errori compiuti da chi ha sviluppato il sito (solo quelli grossi eh, ... altrimenti ci sto fino a Natale):

  1. Il web.config in asp.net non è scaricabile. Questi signori hanno avuto la genialità di inventare un sistema che bypassa il meccanismo built-in di Asp.net.
  2. Hanno usato la SQL authentication invece della Integrated (Windows). Quante volte l'ho detto in sessione che NON va usata...
  3. E se proprio si vuole usare la SQL Authentication è necessario ALMENO usare aspnet_setreg (http://support.microsoft.com/kb/329290/en-us)
  4. Usano impersonation (e già su questo parlo si solito almeno mezzora)
  5. Fanno impersonation di Administrator!!!! Pazzesco ... È necessario creare un utente ad-hoc con i privilegi MINIMI, non massimi!!!!!!!
  6. Hanno scritto le credenziali di impersonation in chiaro nel web.config (vedi punto 3)
  7. [Aggiunto] E poi usare SA è da puro suicidio. Non è SQL Server ad essere vulnerabile se lasci le chiavi sulla porta di casa, e pure aperta!!!

Concludendo

Mi sono limitato, e che ci crediate o no, non ho visitato altro che quelle due pagine di cui ho riportato il link. Perché? Perché sono un white hat e quello che mi basta è la proof of concept.
Alla WPC 2005 ho mostrato come si possa sfondare una rete con 100 volte meno informazioni di queste chicche.

L'esempio portato è talmente clamoroso da non poter neppure essere preso come esempio realistico alla WPC 2007 dove presenterò 8 sessioni sulla sicurezza applicativa.

Purtroppo questo dimostra quanto la sicurezza non sia affatto sentita da una larga parte di maggioranza degli sviluppatori.

La colpa sta nelle scuole, nell'eccesso di presunzione, nella poca umiltà, nell'approssimazione e non continuo perché finirei per scrivere slogan politici che detesto più di ogni altra cosa.

image  Grazie David, queste si che sono chicche!!!

Print | posted on giovedì 4 ottobre 2007 17.59 |

Feedback

Gravatar

# re: Esempio pratico di sviluppo insicuro: il sito di Veltroni

Se questa è "la nuova stagione", mi sa che prefisco rimanere nella vecchia :-).
Ormai non mi stupisco più di niente...
04/10/2007 18.55 | Antonio Ganci
Gravatar

# re: Esempio pratico di sviluppo insicuro: il sito di Veltroni

@Adrian, grazie per la segnalazione. Immaginavo che un buco così colossale ed evidente anche solo guardando l'URL non potesse essere una primizia assoluta.
04/10/2007 19.08 | Raffaele Rialdi
Gravatar

# re: Esempio pratico di sviluppo insicuro: il sito di Veltroni

Non ho parole, un conto è magari non essere un esperto di sicurezza, un altro è ignorare completamente non solo la sicurezza, ma anche l'architettura, con debug=true asp.net nemmeno usa la cache per gli script, le performance sono orribili....veramente do ragione a Andy quando dice "c'è chi dice che ASP.NET "è lento" e "non scala"". Mah....

Va bene, dopo questa cosa non voto veltroni alle primarie :D :D :D

Alk.
04/10/2007 19.12 | Gian Maria
Gravatar

# 

04/10/2007 19.17 | Alkampfer's Place
Gravatar

# 

In seguito al meraviglioso post di Raf vorrei segnalare un libricino. Il libro in questione si chiama
04/10/2007 20.14 | ExternalBlogs
Gravatar

# Esempio pratico di SQL Server INSecurity!

Come già riportato da Raf oggi ed ancora prima da Alessio , riporto anche io la bella notizia che è possibile
04/10/2007 20.39 | Impedance Mismatch
Gravatar

# re: Esempio pratico di sviluppo insicuro: il sito di Veltroni

> Hanno usato la SQL authentication invece della Integrated (Windows). Quante volte l'ho detto in sessione che NON va usata...

...e soprattutto accedono con "sa" come login... LOL
E' proprio vero che i dev trattano i DBMS come "degli scatoloni" dove buttare i loro dati :-D

Ciao!

--
Lorenzo
04/10/2007 21.33 | Lorenzo Benaglia
Gravatar

# re: Esempio pratico di sviluppo insicuro: il sito di Veltroni

Lorenzo, potrei anche non offendermi :))))
04/10/2007 21.52 | Raffaele Rialdi
Gravatar

# re: Esempio pratico di sviluppo insicuro: il sito di Veltroni

<<<<
In passato provavo a segnalare via email queste cose e ho imparato con grande rammarico che a nessuno gliene frega niente. Oggi non posso far altro che scambiare quattro chiacchere con chi condivide con me la grande passione per lo sviluppo.
>>>>

Svergognare (in senso costruttivo, si spera) pubblicamente queste cose
ha molto più peso secondo me.
Se fossi io il programmatore, a parte il pensare seriamente di cambiare mestiere,
mi sentirei profondamente imbarazzato.

Continua (e continuiamo) a pubblicare sul blog queste cose :)

Ciao,
Antonio
04/10/2007 22.04 | Antonio "tdj" Catucci
Gravatar

# re: Esempio pratico di sviluppo insicuro: il sito di Veltroni

Senza parole...
Se proprio si voleva fare un sistema del genere e se proprio si volevano fare una serie di minchiate così grossolane, forse era il caso di mettere un bell'iffone che impedisse ALMENO di scaricare il web.config :)
05/10/2007 9.33 | Alessandro Sorcinelli
Gravatar

# re: Esempio pratico di sviluppo insicuro: il sito di Veltroni

come evitare questo problema sta a pagina 12, quindi non serve nemmeno leggerlo tutto, del libro che ho vinto agli MVP open days...

ma non mi stupisce più di tanto tempo fa collaborando con un altro team mi hanno proposto di scarbiarsi la passqord e nome utente in chiaro in querystring...
05/10/2007 9.41 | Nostromo
Gravatar

# re: Esempio pratico di sviluppo insicuro: il sito di Veltroni

La mia era una battuta e non ho nessuna intenzione di parlare di politica. Sul fatto che ci sia poca sensibilità sulla sicurezza ti dò pienamente ragione. Io penso che il motivo sia che se non curi la sicurezza alla fine non ci sono conseguenze negative per chi ha sviluppato il prodotto; mentre una falla di sicurezza in un sito come Amazon, per dirne uno a caso, avrebbe un eco internazionale e molti danni sull'immagine dell'azienda, in un sito come quello di Veltroni se venisse "bucato" al massimo si parlerebbe in qualche trafiletto di giornale che qualche hacker brutto cattivo volesse lanciare un messaggio politico.
Io sono laureato in ingegneria informatica e non mi ricordo un esame che abbia affrontato questo tema, certo abbiamo studiato un pò di crittografia, ma alla fine non è mai stato veramente affrontato l'argomento.
Purtroppo di strada ce nè da fare ancora molto e come al solito siamo indietro anni rispetto ad altri paesi.
05/10/2007 9.53 | Antonio Ganci
Gravatar

# 

La mega-falla di sicurezza nei siti del Centrosinistra
05/10/2007 10.17 | Alberto Falossi
Gravatar

# Non solo sul sito di Veltroni :-)

Non solo Veltroni! Il problema è su tutti molti del Centrosinistra. Alcuni che ho provato:

lanuovastagione.it
dsonline.it
festaunita.it
saperidemocratici.it
italiafrica.it
veltroniperlitalia.it
diregiovani.it
05/10/2007 10.20 | Alberto Falossi
Gravatar

# re: Esempio pratico di sviluppo insicuro: il sito di Veltroni

Adesso sembra che qualcosa si sia mosso.
Mi pare che non sia più possibile visualizzare ne web.config ne file vb!
Almeno queste segnalazioni sono service a qualcosa.... (anche se penso che abbiano messo un semplice IFFONE sui file .config e .vb)
05/10/2007 13.05 | Alessandro Sorcinelli
Gravatar

# re: Esempio pratico di sviluppo insicuro: il sito di Veltroni

Hi hi, mi arriveno i Carabbinieri e ci arresteno a tutti :-)
Lato positivo: andremo tutti da Santoro e Ballarò, Raf per primo.
Lato negativo: ci toccherà sorbirci le ire funeste di Clemente Web Mastella
05/10/2007 17.44 | Gabriele Del Giovine (MVP*6)
Gravatar

# re: Esempio pratico di sviluppo insicuro: il sito di Veltroni

eheh Gdg, se così fosse, dimostrerebbero di essere a livelli di cultura generale e conoscenza informatica talmente a zero, da far ridere tutto il mondo.

Se veramente qualcuno avesse voluto sabotare un sito: 1) non sarebbe così fesso da farlo pubblicamente, 2) avrebbe fatto dei danni, 3) lo farebbe da un sito anonimo sparso da qualche parte nel mondo, 4) non avrebbe dato il tempo di mettere alcuna pezza.

Ripeto, gli errori fatti sono talmente pacchiani che non sono neppure usabili come esempio in un aula di corso o in una sessione pubblica.

A quanto dice Alessandro (non ho avuto il tempo di riprovare) questo post è servito a metterci una pezza ma giuro che non voglio sapere come... ho paura di scoprire il peggio.
05/10/2007 17.56 | Raffaele Rialdi
Gravatar

# (In)sicurezza by designe

Leggo questo post sul sito di Raffaele Rialdi e resto senza parole... Leggete e meditate... Giorgio
05/10/2007 18.07 | ZenIT Blog
Gravatar

# re: Esempio pratico di sviluppo insicuro: il sito di Veltroni

Capita purtroppo molto molto spesso di trovare cose del genere... ma qui proprio hai preso la strada della "Full Disclosure" !! :-)
05/10/2007 22.08 | Daniele Muscetta
Gravatar

# re: Esempio pratico di sviluppo insicuro: il sito di Veltroni

sarebbe comunque corretto dare i crediti ha chi ha scoperto inizialmente le problematiche. grazie
06/10/2007 21.58 | Alessio Marziali
Gravatar

# re: Esempio pratico di sviluppo insicuro: il sito di Veltroni

"un bell'iffone che impedisse ALMENO di scaricare il web.config :)"

Almeno quella sembrano averlo messo. Grande Raf ... mi hai risollevato la domenica. :)
07/10/2007 15.04 | Andrea
Gravatar

# Siti web insicuri

Ho appena letto questo articolo che pone l'attenzione sulla sicurezza nei siti web. Spesso infatti sono configurati senza tener conto delle minime misure di sicurezza. Nell'esempio in questione si illustra come in un sito web (mal configurato) sia possibi
08/10/2007 13.35 | FiNeX.org
Gravatar

# re: Esempio pratico di sviluppo insicuro: il sito di Veltroni

Ah allora era proprio un bel Iffone :-D
E neanche hanno usato l'overload con ignoreCase....
09/10/2007 11.25 | Michele Bersani
Gravatar

# re: Esempio pratico di sviluppo insicuro: il sito di Veltroni

@Michele. A questo punto mi aspetto si scateni la ricerca del sorgente dove c'è la riga con l'IF sbagliato ... LOL!
@Raffaeu. Ti assicuro che non ho neanche più fatto un hit su quel sito ... sinceramente non c'è gusto e temevo fortemente in una pezza così terribile. La sicurezza NON si può aggiungere!
09/10/2007 12.56 | Raffaele Rialdi
Gravatar

# re: Esempio pratico di sviluppo insicuro: il sito di Veltroni

Battuto sul tempo!

Stavo per segnalarvi la stessa cosa. Ho messo un post sul mio sito. Il bello è che l'IP del DB server è pubblico.

http://geekinfosecurity.blogspot.com/
20/02/2008 15.34 | Roberto Scaccia
Gravatar

# re: Esempio pratico di sviluppo insicuro: il sito di Veltroni

Pazzesco, questo riprova (se ancora ce ne fosse bisogno) che avvertire non serve a nulla.
Grazie Emanuele, grazie Roberto!
21/02/2008 23.08 | Raffaele Rialdi
Gravatar

# Libronata &amp;laquo; Terendo&amp;#039;s Blog

Libronata &amp;laquo; Terendo&amp;#039;s Blog
04/03/2010 11.35 | Pingback/TrackBack
Gravatar

# Libronata

Un paio di mesi fa, che &#232; comunque un tempo pi&#249; recente rispetto al mio ultimo post , ho fatto un mega
14/04/2010 8.00 | Francesco V. Buccoli
Gravatar

# Get More Information

Esempio pratico di sviluppo insicuro: il sito di Veltroni
04/10/2014 15.14 | Get More Information

Post Comment

Title  
Name  
Email
Url
Comment   
Please add 4 and 8 and type the answer here:

Powered by: