Registro elettronico violato? Date un’occhiata a quel software!

Scena del film "WarGames".
Scena del film "WarGames".
Scena del film “WarGames”.

È di questi giorni la notizia di 13 “studenti hacker” che si sarebbero alzati i voti scolastici accedendo al registro elettronico della propria scuola.

Sono molto curioso di capire come gli studenti possano essere entrati nel sistema: se abbiano usato metodi “low tech” (keylogger, ingegneria sociale sui prof., PC lasciati loggati…) oppure abbiano sfruttato vere e proprie vulnerabilità del software. Eventualità, quest’ultima, molto interessante dato che permetterebbe attacchi su più ampia scala con un minimo sforzo (e, volendo, nessuna rintracciabilità).

In attesa di ulteriori news, sono andato a vedere le release notes (note di versione, ossia le descrizioni degli aggiornamenti software) del sistema di registro elettronico più usato dalle scuole italiane, sviluppato da Axios. Ci sono alcune frasi che agli occhi di uno sviluppatore minimamente attento alla sicurezza del proprio software fanno un po’ rabbrividire, e pensare alle SQL injection come ipotetici vettori di attacco. Il testo che segue è integralmente preso dalle release notes del prodotto “Request per registro elettronico” (qui).

In Scrutini vengono controllati e rigetttati, nell’inserimento dei voti, caratteri strani tipo “\” e “/”.

Prima venivano forse interpretati?

Ora si consente di modificare la password inserendo anche lettere.

Ah, quindi prima le password erano composte solo da numeri? Speriamo che almeno fossero di lunghezza sufficiente.

Modificata funzione per accettare sia la , che il . come separatore decimale nei voti

I problemi nel filtraggio dell’input sono spesso un cattivo presagio per la sicurezza di un’applicazione…

Inserito controllo per carattere speciale ‘ in argomenti, commenti e note

Come sopra: sbagliare a parsare gli apici, in particolare, equivale ad implorare di essere bucati con una classicissima SQL injection.

In calcolo media valutazioni il + ed il – vengono considerati solo se preceduti da un voto

Anche qui: prima venivano forse interpretati?

Dulcis in fundo, la pagina di logout del registro elettronico è suscettibile ad un attacco XSS (Cross-Site-Scripting), per esempio col seguente URL:

http://www.sissiweb.it/Secret/RELogOff.aspx?Error_Desc=<b>In questo campo può essere inserito codice arbitrario, anche maligno.</b><BODY ONLOAD=alert(‘XSS’)>

Molti di voi probabilmente non visualizzeranno il popup JavaScript (qui totalmente innocuo) a causa delle protezioni anti-XSS dei browser moderni (controllate la console JavaScript): tuttavia, il codice viene “iniettato” senza problemi nel sorgente della pagina mediante il parametro dell’URL, e questa è una vulnerabilità grave.

In questo articolo ho condotto solamente un’analisi sommaria rispetto alle prime cose che ho visto: sarei deliziato se qualcuno più ferrato di me nel campo della sicurezza informatica riuscisse a trovare altre vulnerabilità nel registro elettronico.

Annunci

Autore: pietrodn

Sono nato nel 1993 e studio Ingegneria Informatica al Politecnico di Milano. Amo leggere, programmare, costruire cose. Nella mia vita sono stato un Wikipediano e ho fatto parte del Consiglio di Istituto della mia scuola che è il Liceo Scientifico "Albert Einstein" di Milano. I miei interessi spaziano dall'informatica nelle sue diverse espressioni fino alla politica universitaria e a tutte le cose che possono definirsi geek.

1 thought on “Registro elettronico violato? Date un’occhiata a quel software!”

  1. ho inviato una mail alla società che gestisce quest’ applicativo..
    fatto sta che riesco a vedere tutto di tutti!!!!!!

Commenta

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...