Andrea Draghetti
Andrea Draghetti aka Drego. I analyze and contrast the Phishing at D3Lab and I'm team member of BackBox Linux! PhishingArmy and meioc is my projects!

Gravi problemi di sicurezza per alcuni siti Istituzionali nostrani!

1 min read

Negli ultimi giorni mi sono pervenute diverse segnalazione di vulnerabilità individuate in siti internet Italiani appartenenti ad istituzione pubbliche, abbiamo così deciso di riportarvi in un articolo tutti i dettagli che ci sono pervenuti.

Camera di Commercio di Lucca

Il sito internet è vulnerabile ad un attacco di tipo SQL Injection, la vulnerabilità è stata individuata da Ciro Ruti Rutigliano, nel dettaglio è possibile estrarre il contenuto dell’intero Database del sito internet compresi i dati di login di cui vi riportiamo uno stralcio:

adminLucenseSCPA     dd80d38ccd1eaxxxxxxxx     Lucense     SCpA     [email protected]
f.sargenti     ccfa5377765c603xxxxxxxx      Francesca     Sargenti
c.bechelli     79a9b25c3e6179dxxxxxxxx     Chiara     Bechelli
[…]
Bruni     96df57e641f83b8a2e9xxxxxxxx      Alessandra     Clu0088
clu0088     33017c172dfc2e9fd4cxxxxxxxx      Alessandra     Bruni
clu0112     87037a4ff4341ebb58xxxxxxxx      Manuela     Salani
[…]
s.marchetti     6cd7180abb78c1d5cxxxxxxxx      Serena     Marchetti
l.barsanti     229ac71d7e94f8e22xxxxxxxx      Lara     Barsanti
elu0332     5482305e36423d7fxxxxxxxx      Salvatore     Pamela

Copriamo gli Hash a tutela dell’ente ma apprendiamo con molto dispiacere che ancora una volta vengono usate password estremamente semplici e di facilissima rilevazione, inoltre non è stato usato alcun Salt crittografico.

CGIL del Trentino

Anche esso è vulnerabile ad un attacco di tipo SQL Injection, la vulnerabilità è stata individuata sempre da Ciro Ruti Rutigliano e nello screenshot di apertura potete notare che è possibile visualizzare i database ed estrarre informazioni confidenziali.

Gazzetta Ufficiale

Sito internet di notevole importanza anche esso vulnerabile ad attacchi di tipo SQL Injection, la vulnerabilità è stata individuata da Gianni Amato, sul suo blog ufficiale è possibile visionare alcuni screenshot.

BigBang Uniroma 1

Concludo con un Deface compiuto dal Team Gr33nRage ai danni di un sotto-dominio dell’UniRoma 1 dedicato al progetto BigBang.

Personalmente disapprovo qualsiasi opera di Deface, preferisco la linea di informazione adottata da Ciro Ruti e Gianni Amato. Sicuri che le vulnerabilità verranno correte vi terremo sicuramente aggiornati sui futuri sviluppi.

Andrea Draghetti aka Drego. I analyze and contrast the Phishing at D3Lab and I'm team member of BackBox Linux! PhishingArmy and meioc is my projects!
«
»

Cronistoria degli attacchi subiti dal Movimento 5 Stelle

Andrea Draghetti
Set 15, 2018 2 min read

Fighting Phishing @ Rev3rse Security

Andrea Draghetti
Giu 19, 2018 25 sec read

Capture the Flag Mobile @ HackInBo 2018 Spring Edition

Andrea Draghetti
Mag 26, 2018 2 min read

3
Lascia un commento

Rispondi

  Subscribe  
più nuovi più vecchi più votati
Notificami
Bl4k3
Ospite
Bl4k3

Articolo bellissimo! 

Mi piace0Non mi piace  Rispondi
18 Settembre 2012 18:07
NoOne
Ospite
NoOne

La sql injection alla gazzetta ufficiale era già stata scoperta più di 2 anni fà.
Come al solito, merde, copiano le cose altrui .

Mi piace0Non mi piace  Rispondi
18 Settembre 2012 19:01
Ospite
Ospite
Ospite

sono bug che sono stati trovati più volte :S

Mi piace0Non mi piace  Rispondi
3 Ottobre 2012 17:19
wpdiscuz   wpDiscuz