Browsing Category: "Sicurezza"
Pochi giorni fa ho pubblicato un articolo a riguardo della vulnerabilità di Blogitalia nei confronti della tecnica di hacking SQL Injection.
La SQL Injection è una tecnica di hacking usata prevalentemente su portali web e pagine dinamiche scritte in ASP, che interagiscono con il database usando il linguaggio SQL (Structured Query Language). L’insieme di dichiarazioni SQL inviate al database per ottenere una risposta si indica con il termine query (interrogazione). Le query possono modificare la struttura del database, ad esempio eliminando una tabella, oppure manipolandone il contenuto.
Per eseguire una SQL Injection su un sito, basta inserire delle particolari stringhe all’interno dei campi “username� e “password�.
Queste stringhe oltre a contenere valori riconosciuti nel linguaggio, contengono una serie di apici, che vengono interpretati dal linguaggio ASP come carattere di chiusura della stringa.
In questo modo la query riconsegna il recordset di tutti gli utenti presenti nel database, e ci lascia entrare nella parte nel sito come se fossimo utenti registrati.
Ma come possiamo fare per implementare la sicurezza del nostro portale, per renderlo protetto agli attacchi di SQL Injection?
Esistono diverse tecniche per evitare le SQL Injection , ma tuttavia, non essendo un programmatore ASP vi spiegherò il metodo più semplice ma non meno sicuro degli altri.
Per rendere sicuro il nostro sito ci basterà sostituire nel comando di login, nella parte della querystring che legge i valori, il simbolo dell’apice con delle doppie virgolette, è l’operazione sarà terminata!
Blogitalia è una directory di blog tutta italiana, come lei stessa si definisce “Una piazza virtuale divisa per categorie e per aree geografiche: uno strumento per trovare e per farsi trovare!�.
La vulnerabilità di Blogitalia che ho scoperto (e che è stata subito corretta), consiste nella possibilità di loggarsi come utente senza però conoscerne la password, inserendo query T-SQL e modificando interrogazioni già esistenti all’interno della pagina, in modo da far compiere all’applicazione un’azione del tutto imprevista.
Questa tecnica è anche nota con il nome di SQL Injection, che spesso può essere usata su pagine sviluppate in PHP ed in ASP come nel nostro caso.
Blogitalia è stato realizzato da Vincenzo Caico (parte tecnica) e Tony Siino (contenuti). Nell’esempio con cui ho spiegato allo staff di Blogitalia la vulnerabilità del loro sito, e che mostrerò anche voi, non cercherò di loggarmi come semplice utente, ma con l’account “KoKoPeLLi� di Vincenzo Caico, admin di Blogitalia che si occupa della parte tecnica, e quindi anche della sicurezza del sito.
In alto a sinistra dell’homepage di Blogitalia, c’è l’area per il login, qui mi è bastato inserire nel campo nickname il valore “KoKoPeLLi�, e nel campo password una particolare stringa che mi ha consentito di loggarmi come KoKoPeLLi senza però conoscerne la password.
Come previsto, il sistema mi ha loggato senza problemi come “KoKoPeLLi�, e da qui potevo modificare ad esempio i suoi dati personali, l’indirizzo e-mail, e la password dell’account.
Qualunque utente malintenzionato poteva sfruttare questa vulnerabilità per rubare le password agli utenti registrati, ma dopo la mia segnalazione allo staff di Blogitalia, hanno subito corretto lo script che gestisce il login, per non permettere l’uso di queste stringhe, e mi hanno ringraziato per la segnalazione.
Salvatore Aranzulla ci mette al corrente di una falla da lui scoperta nei siti dei programmi televisivi di Maurizio Costanzo.
Sia il sito di “Buona Domenica” che il sito di “Tutte le mattine” sono ospitati su un unico server, quindi una falla presente in uno comporterebbe rischi per entrambi.
Dalla sezione graffiti del sito di Buona domenica è possibile inviare delle immagini che vengono poi pubblicate sul sito.
Salvatore, con un programma sniffer è riuscito ad ottenere username e password dell’account ftp del sito.
Qualsiasi utente malintenzionato potrebbe usare questo baco per ospitare del materiale illegale sulla cartella dei graffiti.
La falla è stata prontamente segnalata al team di supporto dei siti, che ha prontemente provveduto a corregerla.
Ho “conosciuto� CommWarrior, il worm per cellulari qualche mese fa in una salagiochi, dopo che il Nokia 6630 di un mio amico (nuovo di una settimana) era stato infettato, subito abbiamo cercato quel bastardo che l’aveva inviato, ma…niente da fare, perchè CommWarrior si inviava da solo a tutti i bluetooth che trovava.
Il nome del file ricevuto era molto strano, composto da lettere e numeri a caso, che cambiavano ad ogni invio, ma ogni volta che avveniva “l’installazione del virus� appariva il nome “CommWarrior�!
Avendo il mio palmare insieme gli ho subito inviato ed installato dei programmi di esplorazione delle risorse del cellulare, cercando vanamente di eliminare manualmente ogni traccia del worm.
Ma nostante l’intervento sembrava essere andato a buon fine, appena usciti dalla salagiochi ho raccomandato il mio amico di spegnere il cellulare.
Qualche ora dopo eravamo in pizzeria, abbiamo provato ad accendere il cellulare, e subito abbiamo notato che tutti i documenti, le foto ed i video erano scomparsi insieme al credito completamente esaurito.
Ecco, quelli erano i primi sintomi che presentava il cellulare attaccato dal worm. Purtroppo però non erano gli ultimi.
Il giorno dopo ho provato a formattare completamente il cellulare con un codice, ma non era servito a nulla, infatti a distanza di qualche giorno la memorycard seppur ben inserita risultava assente.
Visto che il cellulare aveva poco più di una settimana, e quindi era ancora in garanzia, l’abbiamo portato al negozio dove era stato acquistato, facendo notare il malfunzionamento della memory card siamo riusciti ad ottenere il cambio del cellulare con un altro nuovo.
Questa mattina, a distanza di mesi dall’attacco del worm al cellulare del mio amico, arrivato a scuola, ho sentito qualcuno parlare di un virus per cellulari che “girava nella scuola�.
Qualche ora dopo, un mio compagno di classe mi ha portato il suo nokia6600, dicendomi di aver ricevuto uno strano file, ma che dopo essere stato installato, non aggiungeva nessuna nuova icona nel menù.
Subito ho controllato il messaggio con cui è arrivato il programma, il nome del file era composto da numeri e lettere, e cliccandoci sopra appariva il nome “CommWarrior�. Si trattava di lui, il worm che aveva messo KO il 6630 del mio amico qualche mese prima.
Nel frattempo che controllavo il messaggio, la maggior parte dei miei compagni di classe che avevano il bluetooth accesso avevano ricevuto (ma non installato) il file di installazione del worm, ogniuno con un nome diverso, ma tutti inviati dal 6600 infettato del mio compagno.
Gli ho detto di spegnere il cellulare e portarlo al negozio dove l’aveva acquistato per farlo vedere.
Chiedendo in giro ho saputo che oggi, il 6600 del mio compagno di classe, non era stato l’unico cellulare infettato da CommWarrior nella scuola.
Quindi ragazzi state attenti quando avete il bluetooth acceso, oppure fate come me, riempitelo con un paio di antivirus, e inserite come nome bluetooth, il codice presente su symbianmaster che riavvia automaticamente i cellulari bluetooth (non associati) che cercano di collegarsi al nostro.
Un gruppo di ricercatori dell’Università di Berkeley ha affermato di essere in grado, registrando i rumori di una tasiera, di riconoscere il 96% dei caratteri battuti.
Altavista è uno dei più importanti motori di ricerca, ogni giorno viene visitato da tantissime persone, ed è proprio in Altavista che ho scoperto un terzo bug dopo Iltrovatore.it e Google AdSense per la ricerca.
Il bug che ho scoperto in Altavista è di tipo XSS, simile a quello scoperto in Iltrovatore.it.
Infatti, anche in Altavista quando si esegue una ricerca, il testo cercato viene inserito nel titolo della pagina, ma questo non viene filtrato permettendo l’inserimento di pericoloso codice HTML, quindi anche di Javascript da parte di chiunque.
Altavista è uno dei più importanti motori di ricerca, ogni giorno viene visitato da tantissime persone, ed è proprio in Altavista che ho scoperto un terzo bug dopo Iltrovatore.it e Google AdSense per la ricerca.
Il bug che ho scoperto in Altavista è di tipo XSS, simile a quello scoperto in Iltrovatore.it.
Infatti, anche in Altavista quando si esegue una ricerca, il testo cercato viene inserito nel titolo della pagina, ma questo non viene filtrato permettendo l’inserimento di pericoloso codice HTML, quindi anche di Javascript da parte di chiunque.
Navigando in internet mi è capitato di notare che quando si effettua una
ricerca, il testo ricercato, nella maggior parte dei motori di ricerca, viene
poi inserito come titolo della pagina. Quindi, ho preso un motore di ricerca a
caso, www.iltrovatore.it
ed ho provato a cercare la parola “TESTOCERCATO�, ho analizzato il codice HTML
della pagina dei risultati, ed ecco come si presentava la stringa del titolo:
<title>Il Trovatore - Il Motore di ricerca italiano : TESTOCERCATO</title>
