Veltroni, falla corretta

Sistemata una seria vulnerabilità di sicurezza nel nuovo sito di Walter Veltroni

Roma - Il neonato sito del Comitato Walter Veltroni per il Partito Democratico, con dominio lanuovastagione.it, conteneva una seria falla di sicurezza, ora apparentemente corretta.

Lo ha segnalato a Punto Informatico lo sviluppatore David De Giacomi, di dotnethell.it, che esaminando l'URL di alcune pagine del sito ha scoperto qualcosa di "clamoroso".

"Il sito - spiega De Giacomi - esegue una applicazione ASP.NET, quindi se voi mettete come nome file /web.config vi apparirà automaticamente in chiaro proprio il file web.config contenente tutte le password di accesso al sito, al database, nome del database e così via".
Il link al file web.config ora non funziona più, ma la vulnerabilità è stata ben documentata in questo post del blog di Raffaele Rialdi, che fra l'altro ha messo in luce anche altre debolezze nel codice del sito veltroniano.

update
Nel forum si trova anche la testimonianza di Alessio Marziali, il quale afferma di aver scoperto la vulnerabilità del web.config l'11 settembre e di averne verificato la presenza anche su diversi altri siti italiani.
6 Commenti alla Notizia Veltroni, falla corretta
Ordina
  • http://www.lanuovastagione.it/gw/producer/index.as...

    guardate il codice.
    Hanno fatto uno string matching sulle estensioni e i nomi dei files, con il piccolo problema che mentre lo string matching è case sensitive, NTFS non lo è.
    Basta scrivere Web.Config con un qualsiasi carattere maiuscolo per fottere il controllo.
    Fra l'altro sono diversi i siti fatti da DOL con quel CMS fallato. Io ho provato a scrivere all'indirizzo mail che ho trovato in HP per dirglielo, a quanto pare senza esisto.
    non+autenticato
  • E' probabilmente il frutto dell'ennesimo lamerone che fa i siti dinamici ciucciando script gratuiti dalla rete, senza capirci una mazza.

    E' impossibile che chi è in grando di creare da solo uno script per leggere il contenuto di un file, non si renda conto di quanto questo metodo sia pericoloso per la sicurezza dei dati.
    non+autenticato
  • in Italia? ... è possibile, è possibile!
    non+autenticato
  • - Scritto da: Qux
    > E' impossibile che chi è in grando di creare da
    > solo uno script per leggere il contenuto di un
    > file, non si renda conto di quanto questo metodo
    > sia pericoloso per la sicurezza dei
    > dati.

    Cmq chissà se ce n'è un altro che ti fa modificare le password e il database scrivendo tutto nel get della url.

    Sicurezza, questo sconosciuto!
  • - Scritto da: leeooo
    > - Scritto da: Qux
    > > E' impossibile che chi è in grando di creare da
    > > solo uno script per leggere il contenuto di un
    > > file, non si renda conto di quanto questo metodo
    > > sia pericoloso per la sicurezza dei
    > > dati.
    >
    > Cmq chissà se ce n'è un altro che ti fa
    > modificare le password e il database scrivendo
    > tutto nel get della
    > url.
    >
    > Sicurezza, questo sconosciuto!



    sul sito DOL

    "Il web ai massimi livelli:
    una costante evoluzione, un continuo divenire."

    ah ah ah
    non+autenticato
  • eheheehh...

    - Scritto da: Qux
    > E' probabilmente il frutto dell'ennesimo lamerone

    veltroni in persona?

    > che fa i siti dinamici ciucciando script gratuiti
    > dalla rete, senza capirci una
    > mazza.

    si si... e' lui... si allena per il futuro politico...
    eheheheheh...

    > E' impossibile che chi è in grando di creare da
    > solo uno script per leggere il contenuto di un
    > file, non si renda conto di quanto questo metodo
    > sia pericoloso per la sicurezza dei
    > dati.

    noooo... possibilissimo invece... come i contentuti "politici" deel lamerone suddetto...

    eheheh...

    PS:
    per chi non l'avesse capito (non si sa mai...), naturalmente scherzo eh! e' satira politica eh!
    non+autenticato