Negli ultimi giorni mi sono pervenute diverse segnalazione di vulnerabilità individuate in siti internet Italiani appartenenti ad istituzione pubbliche, abbiamo così deciso di riportarvi in un articolo tutti i dettagli che ci sono pervenuti.
Camera di Commercio di Lucca
Il sito internet è vulnerabile ad un attacco di tipo SQL Injection, la vulnerabilità è stata individuata da Ciro Ruti Rutigliano, nel dettaglio è possibile estrarre il contenuto dell’intero Database del sito internet compresi i dati di login di cui vi riportiamo uno stralcio:
adminLucenseSCPA dd80d38ccd1eaxxxxxxxx Lucense SCpA emilio.orsi@lucense.it
f.sargenti ccfa5377765c603xxxxxxxx Francesca Sargenti
c.bechelli 79a9b25c3e6179dxxxxxxxx Chiara Bechelli
[…]
Bruni 96df57e641f83b8a2e9xxxxxxxx Alessandra Clu0088
clu0088 33017c172dfc2e9fd4cxxxxxxxx Alessandra Bruni
clu0112 87037a4ff4341ebb58xxxxxxxx Manuela Salani
[…]
s.marchetti 6cd7180abb78c1d5cxxxxxxxx Serena Marchetti
l.barsanti 229ac71d7e94f8e22xxxxxxxx Lara Barsanti
elu0332 5482305e36423d7fxxxxxxxx Salvatore Pamela
Copriamo gli Hash a tutela dell’ente ma apprendiamo con molto dispiacere che ancora una volta vengono usate password estremamente semplici e di facilissima rilevazione, inoltre non è stato usato alcun Salt crittografico.
CGIL del Trentino
Anche esso è vulnerabile ad un attacco di tipo SQL Injection, la vulnerabilità è stata individuata sempre da Ciro Ruti Rutigliano e nello screenshot di apertura potete notare che è possibile visualizzare i database ed estrarre informazioni confidenziali.
Gazzetta Ufficiale
Sito internet di notevole importanza anche esso vulnerabile ad attacchi di tipo SQL Injection, la vulnerabilità è stata individuata da Gianni Amato, sul suo blog ufficiale è possibile visionare alcuni screenshot.
BigBang Uniroma 1
Concludo con un Deface compiuto dal Team Gr33nRage ai danni di un sotto-dominio dell’UniRoma 1 dedicato al progetto BigBang.
Personalmente disapprovo qualsiasi opera di Deface, preferisco la linea di informazione adottata da Ciro Ruti e Gianni Amato. Sicuri che le vulnerabilità verranno correte vi terremo sicuramente aggiornati sui futuri sviluppi.
Articolo bellissimo!
La sql injection alla gazzetta ufficiale era già stata scoperta più di 2 anni fà.
Come al solito, merde, copiano le cose altrui .
sono bug che sono stati trovati più volte :S