:)
-
Elia C.: 8 mesi, 3 settimane fa
Anonymous scova un incredibile falla nel sito del Ministero per Sviluppo Economico
Scoperta la possibilità di scaricare il file configuration di joomla, comprensivo di password ftp, semplicemente richiedendolo nell’url.
fonte: http://www.focustech.it/anonymous-scova-unincredibile-falla-sito-ministero-sviluppo-economico/
Puoi commentare anche con facebook:
Alcune funzionalità sono disabilitate, accedi per attivarle e partecipare!
Loading ...
Direi vergognoso. E non oso pensare a quando possa esserCI costato realizzare quel sito.
Spero sia una bufala… che poi è pure difficile fare una cappella del genere…
Già, non dovrebbe essere affatto facile fare un pasticcio come quello.
Che poi le applicazioni web non dovrebbero bisogno di conoscere le credenziali FTP. Quindi mi fa strano, ma non so che forma dovrebbe avere un file di configurazione di Joomla.
Comunque provando adesso, non funziona.
O è una bufala, o sono stati veloci a porre rimedio.
Per essere un file di conf di joomla lo è. E joomla può volendo usare un layer ftp per il caricamento da interfaccia web di file più grossi di quelli gestibili con php semplice, però spero che l’abbiano preso da qualche altra parte e non veramente da dove dicono, e soprattutto non mettendo semplicemente la url. Anche se riesco a immaginare uno sprovveduto che per fare le modifiche al file di configurazione rinomina quello vecchio senza l’estensione php e quindi apache lo serve come un file di testo.
infatti.. sul sito linkato nel post c’è scritto che il file era stato rinominato.. magari per backup.. in configuration senza .php, quindi naturalmente il server ha restituito il file come testo. una cosa del genere su un file php scritto come configuration.php di joomla può succedere solo se salta la configurazione di php su apache.. a quel punto i file php si possono scaricare.
non so se sia una bufala cmq sembra non sia piu’ possibile scaricare il file
http://www.sviluppoeconomico.gov.it/configuration restituisce HTTP Error 404.1
qualcuno ha provato la password per vedere se l’hanno cambiata? :)
Non serve a molto sapere che su 127.0.0.1 c’è un account FTP admin:mbit
Come falla non è un granché. Se la rete è configurata come dovrebbe (e i servizi pure), le credenziali usate dalle applicazioni non servono a molto. In fondo sono dati salvati in chiaro sui filesystem locali ..
SE la rete è configurata come dovrebbe… in effetti solitamente le falle sfruttabili sono un concorso di colpe. Bisognerebbe provare ad usare l’SMTP del ministero magari, ho capire a cosa serve il secret di joomla…
Dell’SMTP c’è solo l’host, quindi niente di interessante :) Il secret sarà usato nelle funzioni crittografiche, e potrebbe essere usato per compromettere la confidenzialità e l’integrità delle comunicazioni che comunque già avvenivano in chiaro (non quelle su SSL). Nessun account è stato compromesso, nessun dato rubato, e comunque non stiamo parlando nè di una banca online nè di un database di informazioni riservate, quindi incredibile falla è un po’ troppo…
Deduco che l’FTP non fosse attaccabile dal fatto che non hanno defacciato il sito :)
Non abbiamo nemmeno la prova che quel file fosse davvero usato dall’installazione di Joomla (e non fosse per esempio un residuo). Certo che basta guardarlo in faccia quel sito per mettersi a ridere, però insomma… la falla è un’altra cosa… :)
#define rant_irony
Gli informatici ”closed-source” ovvero quelli che oggi passano all’open
ma nulla sanno di questo mondo essendo cresciuti nel MicroMelaMatrix
amano il PHP, amano MySQL ed i DB SQL classici, amano il concetto di
webserver (no, non sanno che oggi le ”pagine” web son più delle vere
applicazioni, non diteglielo che vanno in confusione) amano il js e
l’XML, amano Eclipse, NetBeans, senza nominarne altri che i miei poveri
neuroni si strizzano gli zebedei, perché creano un progetto (qualsiasi
cosa ciò significhi) con un click, non si preoccupano di dover
organizzare files di codice, loro pensano solo all’outlite laterale,
perché creano una ”connessione ad un DB” drag&droppando ”il db” nella
schermata principale dell’editor, poi ci pensa $ORM_merd^Haviglioso a
fare le magie del caso.
Del resto se si studia e si pensa si contesta, brutta cosa secondo i
feudatari della società umana…
Ah, ftp? Perché scusate non vorrete mica usare l’sftp, ftps, webdavs
o qualcos’altro: poi ci vuole la password, magari una chiave (quella
della porta pare non funzioni) magari anche un token! Diavolo Aruba
non so se manco offra simi assurde tecnologie! Ma diavolo scusate nel
grande toro degli anni ’90 tutti quelli che conoscevano l’html erano
super programmatori e i soldi piovevano che era un piacere; ma è
ovvio che dobbiamo fare come allora no? Altro che dottori e dottorati
dobbiamo riscoprire il napoletano e milanese doc! #undef rant_irony
scusate, non ho saputo trattenermi….
usano i framework come joomla perchè li ficchi su un host qualsiasi e puoi personalizzarli in maniera estrema. Conosco un tizio che butta su network per SEO e che usa solo wordpress e plugins vari.
IMO Web2Py, RoR ecc sono frameworks, Joomla è un CMS precotto scritto in un linguaggio che insieme a vari dialetti del pascal dovrebbe essere in bella mostra nella galleria degli orrori!
Certo Web2Py, magari con redis come datastore di backend, un po’ di CSS ben fatti ed un template html pulito-pulito senza ”AMP” richiederebbe quattro volte il tempo di sviluppo iniziale, richiederebbe gente che sa sviluppare più che copio-incollare codice… Peccato che negli anni a venire costerebbe n volte meno e costerebbe n volte meno in termini di costo delle risorse hw. Opex e capex, che belle sigle inglesi, usiamole tanto ma non sforziamoci di capire cosa sono che tanto arriva qualche altra sigla ”agile” a breve!
Concordo sul tuo cms, non so come mi sia uscito framework.
Per quanto riguarda il PHP, lo vedremo ancora per parecchio tempo, grazie a tutti gli hosts a pochi soldi che si trovano in giro.
Alla fine sono dell’idea che chi utilizza php lo fa soltanto perchè si appoggia ad hosts economici (non vps o dedicati) dove non puoi semplicemente scegliere cosa usare.
Anche se ultimamente il mercato si sta diversificando in questo campo (tra app engine, heroku, nodejitsu, heliohost, nodester e chi ne ha più ne metta)
Python non è proprio il mio linguaggio, ma vedo che su node e ruby ci sono già una buona serie di moduli che consentono di velocizzare il lavoro in maniera incredibile e che lavorando in php mi sognavo.
E sembra che ci siano già alcuni cms! (untested).
Certo è, come ben dici, che il lavoro da fare supera di gran lunga il ragazzino che configura quattro plugins su un cms, ci installa un tema e consegna il prodotto finito al project manager ignorante.
Hu, scusa la risposta un po’ acida allora :D Sul mercato… Non sono un gran liberista tuttavia ritengo vera la legge di domanda e offerta: non offrirebbero soluzioni AMP precotte (il cui costo di mantenimento anche solo in termini di ferro è ben alto) se non ci fosse una relativa richiesta… Certo l’offerta genera anche domanda ma la base è IMO la domanda.
Il successo di Node.js come di Ruby, Python, Redis ma anche lo stesso Ubuntu dimostra che il prodotto valido se non è stile Multics viene premiato, il prodotto ”di facciata” va ma solo come moda, non è un investimento nel tempo neppure per chi lo vende e fa male all’intero mercato…
È uno sciocco chi sceglie un framework per un lavoro che potrebbe essere fatto in una frazione del tempo (leggi $$$) con un CMS. Non c’è gloria per chi è tanto palesemente inefficiente, solo derisione.
I CMS sono costruiti sui loro framework, I framework su linguaggi di alto livello, questi a loro volta su librerie native e così via. Partire ogni volta da zero non avrebbe senso, anche perché è pacifico che i vari pezzi è meglio farli costruire a chi sa quel che fa.
A sto punto il project manager non ignorante sarebbe quello che prentede i blog in assembly?
Tutta questione di dettagli e punti di vista: se hai lavorato bene ti sei fatto la tua struttura IT nel tempo, non per un progetto specifico ma in generale per la tua azienda e ancor prima per la tua carriera professionale quindi hai ”una base” che adatti ogni volta alle tue esigenze, tempi e costi sono *minimi*, riguardano nel caso specifico solo gli aspetti grafici e quali funzionalità implementare sul sito/portale.
Poi se qualcuno ha sviluppato ”una base” *ben fatta* ben venga! Per me Web2Py, Redis, l’YAML il Python ecc sono basi ben fatte, a livelli più alti (cms ad es.) non ho ancora trovato nulla di mio gusto.
Debuggare Joomla&c piegarli come si vuole e farli evolvere è semplice e piacevole come essere chiusi in gabbia con un pitone incavolato, preferisco lavorare di testa e dita oggi pure se fosse la prima volta che affronto un problema per poi rilassarmi e avere tempo da dedicare ad altro domani, che non far di corsa oggi e passar la vita a mettere scotch e puntelli regolarmente.
Questo ti permette di evolvere, l’altra soluzione non ti fa andare da nessuna parte e ti espone ottimamente alla concorrenza indiana, est-europea/balcanica e cinese. Tristemente è un concetto alieno in quei paesi occidentali in crisi, più il concetto è alieno più la crisi è forte, curioso no?
E mica solo nell’informatica eh, in ogni settore merceologico!
Non c’è nessuna speranza che la tua base personale sia migliore (in qualsiasi accezione) di una base sviluppata da gente con i controcazzi e testata da migliaia di applicazioni diverse.
Piegare e debuggare qualcosa progettato per essere piegato e debuggato (ed effettivamente piegato e debuggato in tutto il mondo, come Joomla) sarà sempre più efficace che provarci col tuo lavoro di dita e testa.
Se uno studia quello che usa (sì, anche un CMS) stai sicuro che non va avanti a colpi di scotch. Se poi uno non vuole smazzarsi documentazione, sorgenti ed eventualmente pagare l’esperienza altrui, la colpa non è dalla parte del framework…
Poi ti sta sfuggendo la cosa principale: sono minchiate. Come mai spuntano come funghi framework e CMS open source? Perché sono commodities. L’esperienza necessaria per costruire una ”base” è tanta, ma non tantissima: non è lì che si fa la differenza. Un premio Nobel tu non lo metti a progettare un CMS, tanto vale prendere il migliore possibile con i vincoli attuali e usare il premio Nobel per costruirci la parte applicativa
Raffaele io son molto diretto: se qualcuno ha scelto il php lo scarto a priori, il paradigma del php è a mio giudizio sbagliato quindi anche ciò che fai con lui non sarà buono e sarà difficile che tu scelga il php se sai lavorare bene.
La mia base è migliore perché è da me conosciuta sino nei più minimi dettagli e risponde ai miei bisogni evoluti e consolidati nel tempo; se qualcuno lavora meglio di me e fa community (aumentando enormemente i problemi risolti, i ”consolidamenti” ecc) son ben contento, il fatto è che Joomla come Mambo e tanti altri per me sono SPAZZATURA quindi anche se migliaia di gente c’ha perso milioni di ore non vanno bene, The Mythical Man-Month è una lettura interessante in tal senso in buona compagnia con The Design of Design, solo che li leggono in pochi…
Quando si dice che per diventare programmatori servono dieci anni almeno, che si devono studiare n cose diverse ecc la gente lascia il libro e si butta a pesce su ”Esperto di php in 24 ore…”
Una commodities non è necessariamente consigliabile solo per il fatto di esser tale e i tanti problemi (e costi accessori) che tale considerazione provoca lo provano e quanto al premio nobel per diventare tale ha dovuto anche lui imparare, alcuni sanno programmare senza essere premi nobel, altri sanno scrivere codice, personalmente preferisco i primi per ogni cosa, ho toccato con mano quanto alti siano i costi nel tempo delle cose più banali fatte fare alla carlona proprio perché son cose banali, perché ”quello” la fa troppo lunga ecc.
Scusa, ti posso chiedere che cosa fai per vivere? perché una cosa del genere:
scusa se te lo dico, detta da chiunque non sia un super-programmatore di lungo corso con gli zebedei fumanti a 64 bit sa tanto di trollata.
Anche se esistono e sono in crescita altri linguaggi web più moderni, versatili e migliori in quello che ti pare se PHP è ancora un caposaldo del web un motivo c’è e non è senz’altro quello che gli sviluppatori web sono in blocco degli incompetenti ”da scartare”. (Che poi le cose fatte con i piedi non dipendono dal linguaggio che usi ma dalla testa che c’è dietro.)
E scusa poi se tra gli scartati a priori ci sono quelli dietro a mediawiki, facebook, wordpress e tanti altri software di assoluta eccellenza, per quanto mi riguarda non mi permetterei mai di sparare così a zero su delle cose fatte con maggiore competenza di quella che ho io.
@Giacomo
Faccio l’aspirante emigrante :-( in questo paese vedo troppi mulini a vento per la mia lancia… Scherzi a parte: non sono un Programmatore sono un sysadmin junior, faccio giusto quelle due cosine di cui ho bisogno, script per lo più.
Sul discorso della massa ti rispondo semplicemente: Windows è sicuramente il più diffuso OS al mondo, scartarlo a priori se non sei un super duper kernel hacker mi sa tanto di trollata :D La massa di utenti è un indice di qualità come il prezzo indica la qualità di un prodotto fisico, alle volte lo è, altre no. Il Python è nato nel 1991, il PHP nel ’94, il perl addirittura è del 1987, il Ruby è del 1993, direi che son tutti più vecchi del PHP, non sono gli ultimi arrivati!
Sui big che usano un linguaggio piuttosto che un altro ti cito Youtube che è python-power insieme a vari pezzi di G+, l’infrastruttura di streaming della BBC, la LucasFilm (Industrial Light & Magic) per i sui render da megafilm, Honeywell, Rackspace, Alcatel e tanti altri, ognuno fa le sue scelte, IMO Facebook non è affatto un prodotto di assoluta eccellenza come non lo è Windows. Mi permetto di criticare anche gente che ha molte più competenze di me come mi permetto di criticare Hitler o Bush o Mario Monti che nei loro ”campi” sicuramente la sanno (sapavano) assai più lunga di me, non è questione di puzza sotto il naso ma di libero giudizio basato sulle proprie idee…
ah mi ero perso il #define all’inizio, verso metà lettura stavo per risponderti ”ma che cazzo stai a dì???” :D comunque nella mia esperienza professionale ho trovato e trovo me**a in parti eguali sia da una parte che dall’altra (dell’open-closed source)
Non riesco ad essere sintetico :-( cmq tolta la me**a quanto vedi di umano in giro? Io stò ancora cercando ma la speranza si affievolisce sempre più… Qualcosa c’è, ma sono gocce nel mare…
pensavo di essere io l’alieno :D