Altri siti di Partiti Politici vulnerabili…

A

Avevo deciso si stare **buono buonino**, visto l’inizio della mia collaborazione col **Punto Informatico**, ma visto che [iniziano loro][1] posso mettermici anche io…

Sito web del [Partito Democratico][2] bucabile? Dopo aver letto il blog di [Roberto Scaccia][3], che ha scoperto che con **due click** del mouse riesco a visualizzare nel browser il file web.config *(il file di configurazione della web application del PD in cui sono contenuti i codici di access)* non ci sono un gran che di dubbi… Ma per **par condicio** sono costretto a confessare che non sono né gli unici né, forse, quelli messi peggio.

Un’oretta a **giochicchiare** *(nulla di stratosferico, sia chiaro)* e troviamo un po’ di altre realtà da controllare, tra il **ludico e l’assurdo**…

xss_radicali.jpg

Iniziamo con i [Radicali][4] che sembrano proprio, grazie ad un **xss nella forma più grezza** desiderare [“Paperino al Governo”][4]… Buon per loro, visto che potrebbe essere **meno peggio** di tante altre scelte che abbiamo a disposizione…
Oltretutto esistono filtri in ballo che rendono difficile utilizzare javascript nella pagina. Il tutto si riduce quindi a qualcosa di **semplicemente goliardico** da parte di chi dovesse usare la pagina…

xss_pd.jpg

Sempre il [Partito Democratico][5] sembra avere ancora enormi problemi anche di url sanitization e richiama fantomatici form quando [appare un apicino strategico][6]…. Che dire, tra questo ed il problema [segnalato da Scaccia][3] credo proprio che siano tempi duri per [DOL][7], la società che ha curato la realizzazione e di cui trovate estremi di riferimento alla [pagina del loro sito](http://www.dol.it/contatti/contatti.asp). Potete provare a sentirli in merito alle politiche di **secure coding**…

xss_udeur.jpg

Molto, molto **molto** più pericolose invece le vulnerabilità sul sito dell'[UDEUR][8] che decide di spiegarci con un **esempio da manuale** cosa sia la SQL Injection, riportandone una perfetta implementazione [direttamente nel sito][8]… Che dire?
**One Apostrophe to rule them ALL**?!?!?!
In questo caso le **voragini di Sicurezza** sembrano da imputare a [Neikos][11], la società di Senigallia che potete contattare a [questi recapiti](http://www.neikos.it/contatti.html).

xss_rauti.jpg

Si potrebbe andare avanti dicendo che anche in casa [Rauti][9] esistono problemi di sql injection, ma probabilmente qui hanno dalla loro il fatto che il sito web è stato fatto da un piccolo studio, quel [Pino Mannarino][10] che pare essere il titolare di [StyleFactory][10].

Ne ho ancora un bel po’ in canna, ma vediamo se questi sono per ora sufficienti…

Sia chiaro, non sono per nulla **tecniche da hacker**, ma semplici e banali **apicini** posizionati a destra e manca che qualunque idiota *(me compreso)* può mettere e destra e sinistra…
Per il resto fa impressione vedere come società come [DOL][7], [Neikos][11] e [StyleFactory][10] possano programmare all’alba del 2007 siti che non abbiano *(non dico che le società non l’abbiano, constato non l’hanno i siti web)* la **benchè minima implementazione** non solamente della **sicurezza web** ma anche e semplicemente del **secure coding** e dell’**input sanitization**…

Che dire? **”Uelcom tu Itali, spaghetti, pizza, arp spoofing e web application p0rn”**.

Al solito lasciate commenti o contattatemi :).

**P.S. Ciao a tutti quelli che arrivano qui partendo dai link del [Punto Informatico](http://punto-informatico.it/p.aspx?i=2197528)**
**P.P.S. Ho eliminato i link diretti alla vulnerabilità… Ma se mettete un apicino qui e la la ritrovate :)**

[1]: http://punto-informatico.it/p.aspx?i=2196049
[2]: http://www.partitodemocratico.it/
[3]: http://geekinfosecurity.blogspot.com/2008/02/sito-web-del-pd-si-pubucare.html
[4]: http://www.radicali.it/cerca_exec.php?fields=1&type=7&titolo=VOGLIAMO%20PAPERINO%20AL%20GOVERNO&20;)
[5]: http://geekinfosecurity.blogspot.com/2008/02/sito-web-del-pd-si-pubucare.html
[6]: http://www.partitodemocratico.it/
[7]: http://www.dol.it/
[8]: http://www.popolariudeur.it/
[9]: http://www.misconrauti.it/
[10]: http://www.stylefactory.it/
[11]: http://www.neikos.it/
[tag]bucabile, vulnerabilità, partito, udeur, rauti, partito democratico, pd, neikos, dol, sito web[/tag]

l'autore

Matteo Flora

Mi chiamo Matteo Flora, sono imprenditore seriale, docente universitario e keynote panelist e divulgatore. Mi occupo di cambiare i comportamenti delle persone usando i dati.
Puoi trovare informazioni su di me ed i miei contatti sul mio sito personale, compresi i link a tutti i social, mentre qui mi limito a raccogliere da oltre quattro lustri i miei pensieri sparsi.
Buona lettura.

di Matteo Flora

Matteo Flora

Mi chiamo Matteo Flora, sono imprenditore seriale, docente universitario e keynote panelist e divulgatore. Mi occupo di cambiare i comportamenti delle persone usando i dati.
Puoi trovare informazioni su di me ed i miei contatti sul mio sito personale, compresi i link a tutti i social, mentre qui mi limito a raccogliere da oltre quattro lustri i miei pensieri sparsi.
Buona lettura.