Partito Democratico, il sito si buca da solo
Meno di due settimane fa decantavo le gesta dello sviluppatore che ha realizzato il sito al Partito Democratico, ma ora devo ricredermi in parte.
Rimane l’ottimo lavoro, ma mi scade la professionalità. Come mai questo cambio di tendenza?
Non si può sviluppare un software CMS senza pensare alla sicurezza; non si può sviluppare un software in manierà così grossolana.
Ma andiamo per gradi ed analizziamo la situazione.
Il CMS del sito, a quanto pare, funziona nel seguente modo molto semplice: c’è un incubatore di pagine che le elabora. Questo incubatore risponde alla pagine principale del sito, la default.aspx.
Tramite un parametro passato per query, si indica quale pagina caricare. Incredibilmente l’accesso a queste pagine avviene a livello di filesystem e senza nessun controllo. Per cui, posso passare arbitrariamente un qualsiasi percorso alla query.
Ogni software web fatto in .NET ha un file di configurazione nella root del dominio chiamato web.config. Questo è un file XML in chiaro che può contenere qualsiasi informazione.
Benissimo, il file web.config del sito del Partito Democratico contiene i dati di accesso al database SQL Server, i dati di accesso di amministrazione del sito (username e password in chiaro!) ed anche i dati di accesso di un certo “giovanni”.
Certo, risolvere il problema è semplice, ma nel frattempo il sito è bucabile, modificabile… come suppongo che lo siano tutti gli altri siti realizzati dalla società che gestisce il sito.
Il file web.config è raggiungibile ancora ora, che sono le 19.51. Ma non sò per quanto tempo ancora lo sarà.
