[NEWS] ANSA.it chiude alcune gravi falle

c.m.g · 10-10-2007, 00:33

Notizia del 10 Ottobre 2007

Roma - "Improvvisarsi collaboratore ANSA e far circolare liberamente notizie di fantasia in giro per Internet". Secondo l'esperto di sicurezza Rosario Valotta ciò è quanto era possibile fare, solo pochi giorni fa, sfruttando alcune debolezze nel sistema di pubblicazione web-based di ansa.it, sito della nota agenzia di stampa italiana.

Nel suo blog Valotta spiega che i collaboratori ANSA possono inserire le proprie news nel sistema di pubblicazione dell'agenzia avvalendosi di due web application. Prima che i webmaster del sito sistemassero le lacune di sicurezza, l'interfaccia utente di tali applicazioni era accessibile a chiunque: per entrare nel sistema di inserimento delle notizie era necessario autenticarsi, ma ciò non ha impedito a Valotta di scoprire che, digitando un certo URL, si accedeva ad un file log contenente informazioni quali l'indice delle notizie e il relativo autore. Non senza grande stupore, l'hacker ha scoperto che certi collaboratori utilizzano lo username anche come password: ciò consentiva anche ad utenti non autorizzati di loggarsi nel sistema, visionare le news inviate via Internet da tutti i giornalisti e persino inserirne di nuove.

"La maggior parte degli account riportati nella pagina viewlog.asp hanno username uguali alle password ed entrambi sono costituiti da 2-3 caratteri", scrive Valotta nel proprio blog. "Nella mente dei progettisti l'autenticazione è stata pensata con l'intento di vincolare ciascun collaboratore alla consultazione delle sole news da lui inviate. Peccato che una cosa è l'autenticazione, altra è l'autorizzazione. La seconda (che ho detto) è... inesistente".
Con qualche accorgimento e un po' di fortuna, Valotta sostiene che un malintenzionato avrebbe potuto agevolmente superare il controllo di eventuali supervisori e riuscire a pubblicare una notizia falsa: falsa ma accreditata dalla maggiore agenzia stampa italiana.

Ma non è finita qui. Valotta ha anche scoperto una vulnerabilità di tipo reflective XSS che, a suo dire, consentiva di "prendere completo possesso del database tramite attacco al listener ed alterare account e dati presenti".

"Questo modello di gestione, unito alla totale assenza di un adeguato controllo degli accessi, è gravissimo", ha commentato l'esperto, che in una email inviata a Punto Informatico ha anche aggiunto: "Quello che ho fatto non richiede quasi nessuna perizia tecnica, ma solo un po' di curiosità".

Valotta fa sapere che, dietro sua segnalazione, i responsabili di ansa.it hanno già provveduto a chiudere le debolezze riscontrate.

Fonte: Punto Informatico

juninho85 · 10-10-2007, 21:22

mi sono fermato a

Quote:

Non senza grande stupore, l'hacker ha scoperto che certi collaboratori utilizzano lo username anche come password

...preferisco non andare oltre

10-10-2007, 00:33	#1
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22121	[NEWS] ANSA.it chiude alcune gravi falle Notizia del 10 Ottobre 2007 Roma - "Improvvisarsi collaboratore ANSA e far circolare liberamente notizie di fantasia in giro per Internet". Secondo l'esperto di sicurezza Rosario Valotta ciò è quanto era possibile fare, solo pochi giorni fa, sfruttando alcune debolezze nel sistema di pubblicazione web-based di ansa.it, sito della nota agenzia di stampa italiana. Nel suo blog Valotta spiega che i collaboratori ANSA possono inserire le proprie news nel sistema di pubblicazione dell'agenzia avvalendosi di due web application. Prima che i webmaster del sito sistemassero le lacune di sicurezza, l'interfaccia utente di tali applicazioni era accessibile a chiunque: per entrare nel sistema di inserimento delle notizie era necessario autenticarsi, ma ciò non ha impedito a Valotta di scoprire che, digitando un certo URL, si accedeva ad un file log contenente informazioni quali l'indice delle notizie e il relativo autore. Non senza grande stupore, l'hacker ha scoperto che certi collaboratori utilizzano lo username anche come password: ciò consentiva anche ad utenti non autorizzati di loggarsi nel sistema, visionare le news inviate via Internet da tutti i giornalisti e persino inserirne di nuove. "La maggior parte degli account riportati nella pagina viewlog.asp hanno username uguali alle password ed entrambi sono costituiti da 2-3 caratteri", scrive Valotta nel proprio blog. "Nella mente dei progettisti l'autenticazione è stata pensata con l'intento di vincolare ciascun collaboratore alla consultazione delle sole news da lui inviate. Peccato che una cosa è l'autenticazione, altra è l'autorizzazione. La seconda (che ho detto) è... inesistente". Con qualche accorgimento e un po' di fortuna, Valotta sostiene che un malintenzionato avrebbe potuto agevolmente superare il controllo di eventuali supervisori e riuscire a pubblicare una notizia falsa: falsa ma accreditata dalla maggiore agenzia stampa italiana. Ma non è finita qui. Valotta ha anche scoperto una vulnerabilità di tipo reflective XSS che, a suo dire, consentiva di "prendere completo possesso del database tramite attacco al listener ed alterare account e dati presenti". "Questo modello di gestione, unito alla totale assenza di un adeguato controllo degli accessi, è gravissimo", ha commentato l'esperto, che in una email inviata a Punto Informatico ha anche aggiunto: "Quello che ho fatto non richiede quasi nessuna perizia tecnica, ma solo un po' di curiosità". Valotta fa sapere che, dietro sua segnalazione, i responsabili di ansa.it hanno già provveduto a chiudere le debolezze riscontrate. Fonte: Punto Informatico

Strumenti
Mostra una versione stampabile Invia questa pagina per email