SITO COMUNE DI ANDRIA VULNERABILE

Oggi purtroppo, mio malgrado, sono ancora una volta a mettere in evidenza l’incompetenza e la poca cura che si predispone nell’utilizzo di sistemi informatici sopratutto quando questi sono di interesse comune alla moltitudine della popolazione.

La questione è sempre la stessa. Quando non ci sono enti che vigilano sulla competenza delle aziende a cui viene affidato un compito o un lavoro, ci si trova sempre difronte  a negligenza e incompetenza.

Oggi voglio parlavi del nostro caro sito del Comune di Andria raggiungibile al seguente indirizzo: http://www.comune.andria.bt.it/. L’incompetenza è talmente assurda che mi permette anche di creare un tutorial comprensibile dalla gente comune:
Passo1:
Andiamo sul sito e leggiamoci un articolo qualunque al quale però cambiamo la parte finale dell’URI che invece di avere un numero presenterà semplicemente un apostrofo.

Passo2:
Il sistema di merda sul quale gira tutto il sito: windows. risponderà con un errore dandoci il link in chiaro della pagina ove è presente l’errore (ricordo che questo tipo di errore è stato già risolto da tre anni, se non di più)

img1

Qui il browser trasforma automaticamente l’apostrofo nel relativo codice %27, sistema ideato dagli sviluppatori di browser con chrome per evitare queste situazioni ma che comunque non è servito a niente in questo caso.

Questa operazione ci porterà a ritrovarci nella pagina come da immagine sotto:
img2

Cazzo!!! Vediamo cosa restituisce il broweser se gli inserisco questa pagina da visualizzare nel percorso della barra degli indirizzi, l’intuito di cui vado fiero mi ha dato ragione, ed ecco il risultato:



img3

 

Tutto in chiaro…. sia il percorso per scaricare il database che la relativa password per aprire il database….

MA PORCA DI QUELLA PUTTANA!!!! All’interno ci sono dati sensibili ti tutti i cittadini di Andria. 

Ecco, ovviamente, a me non interessa affatto che cazzo sta all’interno visto che io vivo di altro. Ma questo tipo di exploit è una cosa talmente elementare che non è affatto ammissibile che un comune di più di 100.000 abitanti debba essere vittima di tanta incompetenza.

Alle amministrazioni comunali dico che dovrebbero spendere i nostri soldi scegliendo accuratamente a chi dare la gestione di certe cose…..

7 risposte a “SITO COMUNE DI ANDRIA VULNERABILE

  1. Ti ringrazio per avermi dato dell’incompetente, incapace e quant’altro.
    Per prima cosa vorrei precisare che all’interno del sito NON esiste alcun dato sensibile di ALCUN cittadino, infatti attualmente il sito contiene solo ed esclusivamente news e informazioni di carattere generale, tutte le applicazioni critiche sono state migrate su sistemi e piattaforme più sicure. Ovviamente le tue azione si sarebbero dovute concludere, secondo la netiquette, con un avviso all’amministrazione o al webmaster mentre tu hai pensato bene di craccare il sito (più volte) celandoti dietro la rete Tor, in pratica hai commesso sicuramente almeno un illecito. In virtù di questo abbiamo fatto un esposto alla Polizia Postale che avrà il suo seguito. Inoltre giusto per correttezza sappi che l’incarico mi è stato affidato a seguito di regolare gara, dove mi sono classificato secondo, e dove sono subentrato dopo che l’ATI vincitrice si è dileguata dopo alcuni mesi. Cordiali saluti.

    • No! Mi permetto di replicare…. Non è stato necessario craccare alcunchè. E’ un semplice bug di programmazione oramai noto da tempo ed un bravo programmatore deve essere sempre aggiornato e attento. Avrei dovuto avvisarti? Per far cosa? Nessuno avrebbe saputo niente e il sito sarebbe comunque rimasto in mano a persone incompetenti? E perchè. I cittadini è giusto che sappiano quanto è importante la competenza delle persone che pagano con i propri soldi. I tuoi accessi come amministratore si alternano in lassi di tempo abissali per un amministratore dedito al proprio paese. Spiacente. Ma mi sa che questa cosa finisce sui giornali.

  2. La gestione non la faccio io ma viene fatta dai singoli utenti, comunque effettuando una normale consultazione del sito non si ha accesso al codice, tecnicamente hai eseguito un misto di Sql Injectione più altre tecniche, che sono definite come craccare un sito, e intanto ti sei beccato una denuncia, lo spiegherai alle autorità competenti cosa è craccare e cosa no. Poi per il resto mi riservo di denunciarti anche per diffamazione, sinceramente non capisco cosa vuoi ottenere, la prossima volta partecipa anche tu alla gara del comune e poi vincerà il migliore. Grazie.

  3. Bravo. hai visto che se ti impegni rimetti tutto a posto? Ma non deve esserci sempre qualcuno a scoprire le tue negligenze. Paga qualcuno che ti debagghi il sito e faccia dei test stamdo sempre dietro a tutte le scoperte fatte da persone più competenti di te e me messe insieme. E comunque dovresti ringraziarmi visto che non ho fatto casini ma mi sono solo limitato ad alzare un piccolo polverone. Se ci fosse riuscito qualcun’altro, a quest’ora, sotto inchiesta per cattiva gestione dovevi esserci tu oltre a perdere sicuramente la gestione del sito. Ringrazia la successione degli eventi che ti hanno aiutato e smettila di minacciare a destra e a sinistra.

  4. Senti, visto che stavamo usando ancora IIS 6 e visto che utilizzavamo una cagata di database da tempo abbiamo migrato tutti i dati sensibili e le applicazioni importanti su altri server con altri sistemi. Qui erano rimaste solo le news e le pagine di informazioni, tra parentesi io NON gestisco il server ma solo il sito, perciò in teoria non sarebbe mia compentenza settare IIS. Se tu mi avessi contattato allora si che ti avrei ringraziato, io non mi ergo a super esperto di niente anche perché sono un autodidatta (ho iniziato a programmare nel 1990 e uso un pc dal 1982) e scrivo tutto il codice da me a partire da 0, poi dato che le gare sono al ribasso capirai bene che i margini per fare un debugging serio sono davvero limitati, sicuramente c’è da migliorare, come sempre nella vita, ma non mi sono mai e dico mai permesso di denigrare gli altri per farmi grande e non mi piace chi fa questo con me, tutto qui.

  5. Ok, alla fine siamo persone che amano programmare e rendere un servizio agli altri. So chi sei e conosco le tue capacità per questo ridicolizzavo il tutto, proprio perché certe cose non puoi permettere che accadano, soprattutto tu.

  6. Pingback: sitemap | Angelo Raffaele Liso·

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...