Rilevate altre vulnerabilità in siti istituzionali nostrani!

I nostri lettori continuano a segnalarci vulnerabilità di siti istituzionali Italiani, con un po’ di rammarrico ve li riportiamo sperando che questi errori non vengono più compiuti dai nostri webmaster e che vi sia un maggior controllo da parte degli enti preposti.

La prima vulnerabilità, segnalataci da Ciro Rutigliano, affligge il sito dell’Ufficio Italiano Brevetti e Marchi nel quale una importante SQL Injection permette di ottenere username e password degli utenti come ben visibile nell’immagina di apertura.

La seconda vulnerabilità, segnalataci da s1ckb0y, colpisce l’istituto di credito BNL nello specifico il portale dedicato al Fondo Pensionistico. Nonostante il recende accordo con la CA Technologies per migliorare la sicurezza della Banca, il nostro utente ha individuato una vulnerabilità di tipo SQL Injection con la quale possiamo recuperare informazioni private.

Infine il portale dell’Aereuonatica Italiana dedicato alla stampa è soggetto ad un Cross-site scripting come è possibile visualizzare dall’immagine dopo il salto, anche quest’ultima segnalazione ci è stata segnalata da s1ckb0y.

Infine voglio riportare un caloroso ringraziamento ai nostri lettori che da sempre ci segnalano novità dell’IT Security e vulnerabilità! Grazie!

 

  • Ma i signori sopra, che segnalano tali vulnerabilità, sono consapevoli che se non sono stati esplicitamente autorizzati, sono passibili di denuncia penale?

    • Certamente,
      gli enti sono stati avvisati direttamente dagli utenti.

      Il nostro ruolo è solo quello di informazione.

      Andrea

      Il 04/12/12 10:19, Disqus ha scritto:

    • Pinperepette

      credo che nell’effettuare i test non abbiano fatto molto “baccano”, e a giudicare dai buchi che le vittime hanno lasciato, ci sono più possibilità che vengono rapiti dagli extraterrestri, che colti sul fatto da quei webmaster 😛

      • Si, ma, per quanto le vulnerabilità sia banali, anche solo il fatto di “provarci” senza autorizzazione costituisce reato, e loro si stanno praticamente “costituendo”. Il fatto che nessuno faccia denuncia poi è un altro discorso.

        • Non penso che nessun sito, specie se di rilievo, voglia affrontare gli effetti di una cattiva pubblicità dovuta al possibile clamore mediatico di un processo del genere. Se chi “smanetta” non ha fatto alcun danno in genere si lascia perdere, anzi se si è abbastanza intelligenti lo si ringrazia anche.