BUG di sicurezza ... accesso a file riservati

[serzio]

http://www.serzio.it/dev/evo10/rincus

Ditemi cosa ne pensate ...

[milux]

che è stato abbastanza facile ..

REGOLAMENTO PER LA DISCIPLINA DEL DIRITTO DI ACCESSO AI DOCUMENTIAMMINISTRATIVI E PER L'INDIVIDUAZIONE DEL RESPONSABILEDEL PROCEDIMENTO AMMINISTRATIVO E DEI TERMINI PROCEDIMENTALI

----------------------------------------------------------------------------------------------------------------------------------

e che hai colto nel segno con l'exploit.

Se decidi di rendere pubblico l'exploit, tienili però sui carboni ardenti per un pò di tempo...

[milux]

tanto per fare un esempio http://answers.websitex5.com/post/[-omissis-]

da cui si estrae http://www.[-omissis-] e www.[-omissis-] ; con l'exploit si accede direttamente ai files che ovviamente non godono di nessuna protezione. Non oso pensare a tutti quegli amministratori, studi legali et simili che hanno inserito nelle cartelle, files contenenti dati sensibili, rendiconti bancari ecc ecc.

a proposito di sicurezza.. http://www.zeusnews.it/n.php?c=21263 

[serzio]

[...]

a proposito di sicurezza.. http://www.zeusnews.it/n.php?c=21263 

Non meravigliartene .... lavoro da molti anni come consulente per tribunali ed enti pubblici .... non puoi nemmeno immaginare in quali condizioni gli vengono "preparati" i computer ... ed i server, in particolare ... dalle aziende fornitrici che, però, lo fanno con mille certificazioni di qualità. Stendiamo un velo pietoso.

L'exploit di questa notte è una cacchiata trremenda .....

Oggi è venerdì ..... aspetterò ad oggi pomeriggio per pubblicare tutto ...  ... così il post rimane in vista per almeno un paio di giorni.

Anche per avere il tempo necessario per verificare meglio il tutto.

[serzio]

Siamo affidabili?


... e [-omissis-] .... è affidabile?

[lemonsong]

Oggi è venerdì ..... aspetterò ad oggi pomeriggio per pubblicare tutto ...  ... così il post rimane in vista per almeno un paio di giorni.

Mi metterò comodo e spero di poter seguire tutto 

[serzio]

Oggi è venerdì ..... aspetterò ad oggi pomeriggio per pubblicare tutto ...  ... così il post rimane in vista per almeno un paio di giorni.

Mi metterò comodo e spero di poter seguire tutto 

Non c'e' nulla di spettacolare ..... pubblicare il file "versions.xml" è una cacchiata colossale. Primo, per la questione del formato xml che ha creato già tanti problemi in passato e non si esclude che possa crearne ancora (non dimentichiamo che il codice è stato rattoppato diverse volte per correggere le vecchie falle). Secondo, per la questione delle esportazioni che hanno comportamenti diversi tra online e locale (problema che ho già sollevato, ma che [-omissis-] si ostina a negare). Quel file doveva esserci indipendentemente dal tipo di esportazione, ma doveva rimanere rigorosamente in locale ... chissà se qualcuno ha intuito il vero tono di quel thread ... dubito  . Terzo, i files non devono essere pubblicati in quel modo, i nomi devono essere sempre rimappati con caratteri pseudo-casuali ed essere completamente inerti.

[lemonsong]

Ho capito, ho la demo ma ho visto il file "versions.xml".


@milux
Questa cambierà idea... tra poco:
http://answers.websitex5.com/post/[-omissis-]

 

[milux]

Ho capito, ho la demo ma ho visto il file "versions.xml".


@milux
Questa cambierà idea... tra poco:
http://answers.websitex5.com/post/[-omissis-]

 

Infatti , l'ho messa in guardia prima che legga il post di oggi pomeriggio..

@Sergio : perchè non pubblichi prima l'argomento qui sul forum e poi lo replichi più tardi su Answer?

[lemonsong]

Tornando all'eventuale post pubblico, non sarebbe opportuno dare anche una specie di "toppa", oltre alla cancellazione del suddetto file da ripetere ad ogni esportazione anche una protezione del file versions.xml in, per esempio, .htaccess per server Linux e analogo per server Windows?

Lo so che è superfluo scriverlo:

Codice:

Only registered users can see contents. Please click here to Register or Login.

Mi metto nei panni dei poveri utenti che hanno confidato nell'area riservata di WS.

[serzio]

Ho capito, ho la demo ma ho visto il file "versions.xml".


@milux
Questa cambierà idea... tra poco:
http://answers.websitex5.com/post/[-omissis-]

 

Infatti , l'ho messa in guardia prima che legga il post di oggi pomeriggio..

@Sergio : perchè non pubblichi prima l'argomento qui sul forum e poi lo replichi più tardi su Answer?

Non l'ho fatto perchè in realtà ... l'ho già fatto. E' un exploit senza storia.
E' più di una settimana che sto duettando con [-omissis-] per una questione sul file versions.xml .... ci manca solo che glielo dico apertamente. Non avevo approfondito bene la questione. Avevo solo sentito, a naso, la puzza di fregatura su quel file e solo stanotte ho trovato l'insonnia giusta per approfondire e fare un esperimento ... che mi ha dato pienamente ragione.

Il sunto è il seguente: i programmatori ... hanno tentato di rimediare al problema delle esportazioni selvagge di website con un sistema tratto da una discussione che facemmo all'epoca della beta della 9 a cui partecipai anch'io e che si proponeva di creare una sorta di indice con i dati sufficienti per consentire di riconoscere i files da esportare e limitare gli upload ai soli oggetti realmente da aggiornare.
Naturalmente, tra le n possibili implementazioni, hanno scelto la meno efficiente, [-omissis-]. Un indice in formato XML accessibile a tutti e per di più esportato in una posizione ben visibile e con un nome standard: "versions.xml".

In tale file c'e' un indice di tutti i files esportati .... e tra l'altro, non è nemmeno affidabile .... ho visto che spesso contiene filename non più esistenti sul sito web .... forse apro una segnalazione anche su questo.

Allora, cosa ho fatto: ho ciambottato (termine pugliese derivato dal famosissimo "ciambotto", una ricetta tipica delle nostre parti a base di pesce misto di vario tipo, pomodoro, aglio ed altro ... squisito .... assimilabile ad un minestrone di pesce) due righe di codice per leggere il file, correggere un problema sugli slash/backslash (segnalato questa mattina, il problema degli slash ...

[ Guests cannot view attachments ]

... eccheccacchio, se non rispettano gli standard, un hacker giocattolo come me, come fa' a craccare il sito?) .... e, uno ad uno, tira fuori i nomi dei files esportati precedentemente da website e ne visualizza il link ed eventualmente il contenuto.
Ovviamente, molti files non sono leggibili e si tratta di asp e php. Tantissimi altri files, html, css, js, gif, jpg swf etc etc, sono leggibili normalmente, ma lo sono solo se se ne conosce il link. Cosa possibile per le pagine non protette guardandone il sorgente, ma i contenuti delle aree protette non consentono di capire il loro contenuto e quindi ..... i link assenti ce li fornisce il mitico "versions.xml".

Per i curiosi, questa è la ricetta del ciambotto di stanotte:

[ Guests cannot view attachments ]

[serzio]

Tornando all'eventuale post pubblico, non sarebbe opportuno dare anche una specie di "toppa", oltre alla cancellazione del suddetto file da ripetere ad ogni esportazione anche una protezione del file versions.xml in, per esempio, .htaccess per server Linux e analogo per server Windows?

Lo so che è superfluo scriverlo:

Codice:

Only registered users can see contents. Please click here to Register or Login.

Mi metto nei panni dei poveri utenti che hanno confidato nell'area riservata di WS.

• Funzionerebbe solo con linux
• lascerebbe [-omissis-] senza i "giusti stimoli" per risolvere rapidamente il problema .... si cullerebbe sulla mezza soluzione proposta (l'unica soluzione definitiva è la rimozione del file ... con tutti i problemi conseguenti, però .... (la storia insegna, ricordate gli exploit sulla 8 che non furono mai risolti e quelli sulla 9 che impiegarono più di un mese per arrivare?) 

[lemonsong]

Funzionerebbe solo con linux

Questo lo so:

[...] e analogo per server Windows?

In quanto agli "stimoli" ... sono d'accordo 

[essedi]

Funzionerebbe solo con linux

• ................
• lascerebbe [-omissis-] senza i "giusti stimoli" per risolvere rapidamente il problema .... si cullerebbe sulla mezza soluzione proposta (l'unica soluzione definitiva è la rimozione del file ... con tutti i problemi conseguenti, però .... (la storia insegna, ricordate gli exploit sulla 8 che non furono mai risolti e quelli sulla 9 che impiegarono più di un mese per arrivare?) 

Io non ho mai utilizzato l'esportazione diretta di X5, ma solo quella tramite disco locale e Filezilla. Di conseguenza, senza esserne cosciente, non creo il file incriminato versions.xml.

Non mi è chiaro se vi sono "problemi conseguenti" (continuando ad esportare sempre tramite Filezilla).

[serzio]

Funzionerebbe solo con linux

• ................
• lascerebbe [-omissis-] senza i "giusti stimoli" per risolvere rapidamente il problema .... si cullerebbe sulla mezza soluzione proposta (l'unica soluzione definitiva è la rimozione del file ... con tutti i problemi conseguenti, però .... (la storia insegna, ricordate gli exploit sulla 8 che non furono mai risolti e quelli sulla 9 che impiegarono più di un mese per arrivare?) 

Io non ho mai utilizzato l'esportazione diretta di X5, ma solo quella tramite disco locale e Filezilla. Di conseguenza, senza esserne cosciente, non creo il file incriminato versions.xml.

Non mi è chiaro se vi sono "problemi conseguenti" (continuando ad esportare sempre tramite Filezilla).

E fai bene. L'unico effetto collaterale è che, non essendoci l' "indice", website non riesce a selezionare i soli files modificati da esportare e pertanto, se non vuoi ripetere l'upload completo ogni volta, ti devi affidare al client ftp in uso per la selezione dei files .... a meno che tu non sia in grado di fare una selezione a mano (sconsigliata).