Gravi problemi di sicurezza per alcuni siti Istituzionali nostrani!

Negli ultimi giorni mi sono pervenute diverse segnalazione di vulnerabilità individuate in siti internet Italiani appartenenti ad istituzione pubbliche, abbiamo così deciso di riportarvi in un articolo tutti i dettagli che ci sono pervenuti.

Camera di Commercio di Lucca

Il sito internet è vulnerabile ad un attacco di tipo SQL Injection, la vulnerabilità è stata individuata da Ciro Ruti Rutigliano, nel dettaglio è possibile estrarre il contenuto dell’intero Database del sito internet compresi i dati di login di cui vi riportiamo uno stralcio:

adminLucenseSCPA     dd80d38ccd1eaxxxxxxxx     Lucense     SCpA     [email protected]
f.sargenti     ccfa5377765c603xxxxxxxx      Francesca     Sargenti
c.bechelli     79a9b25c3e6179dxxxxxxxx     Chiara     Bechelli
[…]
Bruni     96df57e641f83b8a2e9xxxxxxxx      Alessandra     Clu0088
clu0088     33017c172dfc2e9fd4cxxxxxxxx      Alessandra     Bruni
clu0112     87037a4ff4341ebb58xxxxxxxx      Manuela     Salani
[…]
s.marchetti     6cd7180abb78c1d5cxxxxxxxx      Serena     Marchetti
l.barsanti     229ac71d7e94f8e22xxxxxxxx      Lara     Barsanti
elu0332     5482305e36423d7fxxxxxxxx      Salvatore     Pamela

Copriamo gli Hash a tutela dell’ente ma apprendiamo con molto dispiacere che ancora una volta vengono usate password estremamente semplici e di facilissima rilevazione, inoltre non è stato usato alcun Salt crittografico.

CGIL del Trentino

Anche esso è vulnerabile ad un attacco di tipo SQL Injection, la vulnerabilità è stata individuata sempre da Ciro Ruti Rutigliano e nello screenshot di apertura potete notare che è possibile visualizzare i database ed estrarre informazioni confidenziali.

Gazzetta Ufficiale

Sito internet di notevole importanza anche esso vulnerabile ad attacchi di tipo SQL Injection, la vulnerabilità è stata individuata da Gianni Amato, sul suo blog ufficiale è possibile visionare alcuni screenshot.

BigBang Uniroma 1

Concludo con un Deface compiuto dal Team Gr33nRage ai danni di un sotto-dominio dell’UniRoma 1 dedicato al progetto BigBang.

Personalmente disapprovo qualsiasi opera di Deface, preferisco la linea di informazione adottata da Ciro Ruti e Gianni Amato. Sicuri che le vulnerabilità verranno correte vi terremo sicuramente aggiornati sui futuri sviluppi.

  • Bl4k3

    Articolo bellissimo! 

  • NoOne

    La sql injection alla gazzetta ufficiale era già stata scoperta più di 2 anni fà.
    Come al solito, merde, copiano le cose altrui .

  • Ospite

    sono bug che sono stati trovati più volte :S