Gravi problemi di sicurezza per alcuni siti Istituzionali nostrani!

Negli ultimi giorni mi sono pervenute diverse segnalazione di vulnerabilità individuate in siti internet Italiani appartenenti ad istituzione pubbliche, abbiamo così deciso di riportarvi in un articolo tutti i dettagli che ci sono pervenuti.

Camera di Commercio di Lucca

Il sito internet è vulnerabile ad un attacco di tipo SQL Injection, la vulnerabilità è stata individuata da Ciro Ruti Rutigliano, nel dettaglio è possibile estrarre il contenuto dell’intero Database del sito internet compresi i dati di login di cui vi riportiamo uno stralcio:

adminLucenseSCPA     dd80d38ccd1eaxxxxxxxx     Lucense     SCpA     [email protected]
f.sargenti     ccfa5377765c603xxxxxxxx      Francesca     Sargenti
c.bechelli     79a9b25c3e6179dxxxxxxxx     Chiara     Bechelli
[…]
Bruni     96df57e641f83b8a2e9xxxxxxxx      Alessandra     Clu0088
clu0088     33017c172dfc2e9fd4cxxxxxxxx      Alessandra     Bruni
clu0112     87037a4ff4341ebb58xxxxxxxx      Manuela     Salani
[…]
s.marchetti     6cd7180abb78c1d5cxxxxxxxx      Serena     Marchetti
l.barsanti     229ac71d7e94f8e22xxxxxxxx      Lara     Barsanti
elu0332     5482305e36423d7fxxxxxxxx      Salvatore     Pamela

Copriamo gli Hash a tutela dell’ente ma apprendiamo con molto dispiacere che ancora una volta vengono usate password estremamente semplici e di facilissima rilevazione, inoltre non è stato usato alcun Salt crittografico.

CGIL del Trentino

Anche esso è vulnerabile ad un attacco di tipo SQL Injection, la vulnerabilità è stata individuata sempre da Ciro Ruti Rutigliano e nello screenshot di apertura potete notare che è possibile visualizzare i database ed estrarre informazioni confidenziali.

Gazzetta Ufficiale

Sito internet di notevole importanza anche esso vulnerabile ad attacchi di tipo SQL Injection, la vulnerabilità è stata individuata da Gianni Amato, sul suo blog ufficiale è possibile visionare alcuni screenshot.

BigBang Uniroma 1

Concludo con un Deface compiuto dal Team Gr33nRage ai danni di un sotto-dominio dell’UniRoma 1 dedicato al progetto BigBang.

Personalmente disapprovo qualsiasi opera di Deface, preferisco la linea di informazione adottata da Ciro Ruti e Gianni Amato. Sicuri che le vulnerabilità verranno correte vi terremo sicuramente aggiornati sui futuri sviluppi.

/3 Commenti/da
Potrebbero interessarti
Rilasciata una nuova versione di SQLSentinel
Rilevate altre vulnerabilità in siti istituzionali nostrani!
LulzStorm mette in ginocchio le Università Italiane
W3AF Si aggiorna alla versione 1.1 - Web Application Attack and Audit Framework
SQLSentinel - Un Crawler per le SQL Injection
BackBox Hacked! Grave vulnerabilità del server condiviso di Netsons

3
Lascia una recensione

Rispondi

  Subscribe  
più nuovi più vecchi più votati
Notificami
Bl4k3
Ospite
Bl4k3

Articolo bellissimo! 

Mi piace0Non mi piace  Rispondi
18 Settembre 2012 18:07
NoOne
Ospite
NoOne

La sql injection alla gazzetta ufficiale era già stata scoperta più di 2 anni fà.
Come al solito, merde, copiano le cose altrui .

Mi piace0Non mi piace  Rispondi
18 Settembre 2012 19:01
Ospite
Ospite
Ospite

sono bug che sono stati trovati più volte :S

Mi piace0Non mi piace  Rispondi
3 Ottobre 2012 17:19
wpdiscuz   wpDiscuz