On Thu, 21 Feb 2008 14:52:29 +0100, skien <[EMAIL PROTECTED]> wrote: > Be' il discorso mi sembra di averlo posto in simpatia... non era certo > un vanto o altro di bambino cracker che ha fatto la marachella. > > Tutto nasce su 'quanto sono realmente sicuri i siti delle universita' > italiane contro le mode del momento? (vedi XSS) > > e sopratutto quanto sono tempestivi o danno importanza i mantainer ed i > responsabili? > > era una sorta di 'punto sulla situazione'. > > Il fatto che ad oggi, passate già 48hr e contattati i diretti > 'responsabili' i quali non hanno ne' patchato ne' tantomeno considerato > il mail...dovrebbe far pensare alla poca? importanza che ha la sicurezza > in ambito universitario..o (ma mi sembra strano ipotizzarlo) solo > nell'università di Catania. > > > Punto pen-ultimo, la vulnerabilita' non e' stato per altro 'ricercata'. > è balzata agli occhi dal nulla, certo fa di me una persona poco tecnica > e professionale dirlo:), ma quella pagina viene data al -page not found- > quindi... più palese di così! > > Punto ultimo, proprio a causa della sicurezza e' nato il discorso, per > quanto i siti universitari italiani siano spesso solo 'informativi' sono > poco appetibili (per le mode degli ultimi tempi) per cracker alla > ricerca di soldi facili, spesso i problemi non balzano proprio agli > occhi al primo acchitto e quindi vengono valutati meno > profondamente.(vedi problemi simili legati alle banche e allo > stupefacente panico mediatico suscitato nei mesi/anni scorsi: > Sella,Poste etc...) > > ma se consideriamo per un attimo, i dati sensibili che ogni secondo quei > siti fanno circolare, Codice fiscale, matricola, webmail > docente/amministrazione/tecnico/studenti ed in alcuni casi anche > pagamenti online di tasse iscrizioni/rate venissero rediretti / > sniffati...il problema avrebbe sicuramente un'ampiezza maggiore. > > ricordo inoltre che essendo solo, semplicemente, una questione di XSS e > non essendo nessuna 'penetrazione' nei sistemi, la cassa di risonanza > risulta ancora più ampio, perchè usabile senza (quasi) nessuna traccia, > se non quella della vittima. > > - > C'e' anche un altro fattore ben più grave IMHO che non ho postato, > sperando in una cortese risposta o patch da parte degli amministratori > del sito in questione. > - > > Ah. dimenticavo...non è più la mia università...non sono riuscito a > superare lo scoglio delle analisi.=) > > -skien
Che i siti universitari italiani siano considerabili alla stregua di un colabrodo è ormai risaputo.. ho spesso visto sql injections di varia natura, xss, csrf e altre cosucce. Ma la cosa non è limitata alle università ma a tutti i siti istituzionali in genere che della sicurezza (soprattutto della web application) se ne fregano molto poco, e anche dopo una eventuale segnalazione continuano a fregarsene altamente (esperienza personale). Comunque generalmente eviterei di spargere in questa maniera delle vulnerabilità di altri siti, anche perchè come dice Perego è proprio reato perchè, nonostante io mi ponga il dubbio che operando solo a livello Client del JavaScript non si possa questo considerare un'infrazione dell'articolo 615-ter (che mi è stato personalmente imputato), non ti è consentito legalmente effettuare pentesting di qualsiasi sorta senza una liberatoria rilasciata dall'interessato. Comunque ti ricordo che fintanto che l'XSS è una richiesta HTTP questa viene loggata da Apache ed ovviamente oltre alle vittime di questo possibile attacco resulteresti anche tu. /nex
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
