Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
DOCUMENTO CONFIDENZIALE
Questo documento contiene informazioni confidenziali, pertanto né il documento né le informazioni in esso contenute possono essere pubblicate, riprodotte,
copiate, divulgate o utilizzate per scopi diversi da quelli per cui sono stati forniti senza espressa autorizzazione.
CYBER SECURITY PRACTICE
SOMMARIO
DOCUMENTO CONFIDENZIALE
Questo documento contiene informazioni confidenziali, pertanto né il documento né le informazioni in esso contenute possono essere pubblicate, riprodotte,
copiate, divulgate o utilizzate per scopi diversi da quelli per cui sono stati forniti senza espressa autorizzazione.
DATA
PENETRATION TEST APPLICATIVO 2021-07-23
CYBER SECURITY PRACTICE
1. RAPPORTO ESECUTIVO
È stato eseguito un Penetration Test Applicativo in modalità Black Box sull’applicazione “IDFB” di Monitoraggio Ambientale Regione
Campania al fine di verificarne il livello di sicurezza. La classificazione Black Box indica che il penetration tester che svolge l’attività
non ha conoscenza dei dettagli interni sul sistema oggetto delle analisi. L’analista può eventualmente utilizzare informazioni
disponibili su internet. Altre informazioni possono essere ottenute durante le fasi iniziali dell’attività tramite l’analisi del
comportamento dell’applicazione. I penetration test di tipo Black Box permettono di dare visione delle vulnerabilità e delle
debolezze sfruttabili da un attaccante reale. Il seguente report mostra quali vulnerabilità sono presenti nel perimetro in analisi,
come queste possano essere sfruttate e l’impatto che si avrebbe nel farlo.
I test sono stati svolti simulando un attaccante reale, ma in accordo con le regole di ingaggio definite e concordate tra Monitoraggio
Ambientale Regione Campania (cliente) e AlmavivA S.p.a. (fornitore).
Applicazione Dominio/URL
IDFB http://idfb.regione.campania.it/Idfb/faces/login/login.xhtml
Le analisi sono state condotte sui target sopra elencati, nei periodi di seguito riportati:
DOCUMENTO CONFIDENZIALE
Questo documento contiene informazioni confidenziali, pertanto né il documento né le informazioni in esso contenute possono essere pubblicate, riprodotte, 1
copiate, divulgate o utilizzate per scopi diversi da quelli per cui sono stati forniti senza espressa autorizzazione.
DATA
PENETRATION TEST APPLICATIVO 2021-07-23
CYBER SECURITY PRACTICE
3 3
DOCUMENTO CONFIDENZIALE
Questo documento contiene informazioni confidenziali, pertanto né il documento né le informazioni in esso contenute possono essere pubblicate, riprodotte, 2
copiate, divulgate o utilizzate per scopi diversi da quelli per cui sono stati forniti senza espressa autorizzazione.
DATA
PENETRATION TEST APPLICATIVO 2021-07-23
CYBER SECURITY PRACTICE
Missing Server Side È possibile aggiungere e modificare Iter arbitrari con utenze che non dovrebbero avere i
ALTO
Missing Anti-Bruteforce È possibile eseguire attacchi di tipo brute-force per ricavare le credenziali per l’accesso al
Mechanisms portale.
MEDIO
Cleartext Transmission of
L'applicazione trasmette dati sensibili su canali non cifrati.
Sensitive Information
Sono esposte informazioni critiche che potrebbero essere eliminate senza impatti sulla
Excessive Data Exposure
piattaforma.
Clickjacking: X-Frame- Il Web Server non ha fornito nessun Header X-Frame-Options nella risposta, rendendo
Options Header missing così vulnerabile l'applicazione ad attacchi di Clickjacking.
Alla luce di quanto emerso, si consiglia di intraprendere azioni correttive indicate nel capitolo Rimedi.
• Sottoporre i sistemi target ad un monitoraggio di sicurezza host-based, ossia tramite agent. Per maggiori dettagli contattare il
Computer Security Incident Response Team (CSIRT) all'indirizzo csirt@almaviva.it
• Verificare se le vulnerabilità descritte siano note al pubblico, quindi se siano già state sfruttate o abbiamo causato un Data
Breach. Per tale analisi, è possibile eseguire un’attività di Threat Intelligence, pertanto contattare il gruppo Security Assessment
Team all’indirizzo SecurityAssessmentTeam@almaviva.it
• Verificare se nei log ci siano tracce di sfruttamento delle vulnerabilità descritte, quindi se ci siano i presupposti per procedere,
come indicato dal Regolamento Europeo GDPR, a Data Breach Notification. Per maggiori dettagli contattare il Security
Assessment Team all’indirizzo SecurityAssessmentTeam@almaviva.it
DOCUMENTO CONFIDENZIALE
Questo documento contiene informazioni confidenziali, pertanto né il documento né le informazioni in esso contenute possono essere pubblicate, riprodotte, 3
copiate, divulgate o utilizzate per scopi diversi da quelli per cui sono stati forniti senza espressa autorizzazione.
DATA
PENETRATION TEST APPLICATIVO 2021-07-23
CYBER SECURITY PRACTICE
2. DETTAGLI TECNICI
Quando un’applicazione web riceve un input dall’utente è buona prassi che la validazione dell’input stesso avvenga sia lato client
(front-end) che lato server (back-end). Questo perché nel caso di validazioni eseguite esclusivamente lato client, un utente che
disabiliti l’esecuzione di codice Javascript o che utilizzi Web Proxy sarebbe in grado di inviare richieste con input arbitrari
bypassando completamente i controlli lato client.
ENDPOINT AFFETTI
http://idfb.regione.campania.it/Idfb/faces/home/homeUtente.xhtml
Durante le analisi, è emerso che l'applicazione Web non controlla lato server la legittimità di alcune richieste di inserimento e
modifica di un Iter, come dimostrato nel procedimento seguente:
Effettuando il login con l'utente test_sac, si può accedere alla parte riservata per le Strutture Amministrative Competenti.
In questa pagina non è presente, a prima vista, nessun form o pulsante per inserire o modificare un Iter, come mostrato
nell'evidenza sottostante:
Figura 1 – Login con test_sac. Nella pagina non è presente alcun form di inserimento o modifica di un Iter
DOCUMENTO CONFIDENZIALE
Questo documento contiene informazioni confidenziali, pertanto né il documento né le informazioni in esso contenute possono essere pubblicate, riprodotte, 4
copiate, divulgate o utilizzate per scopi diversi da quelli per cui sono stati forniti senza espressa autorizzazione.
DATA
PENETRATION TEST APPLICATIVO 2021-07-23
CYBER SECURITY PRACTICE
Sebbene la pagina non mostri alcun form di inserimento o modifica di un Iter, il codice HTML dei suddetti componenti è comunque
presente nel codice sorgente della pagina ma non vengono mostrati a video a causa delle regole CSS (in particolare l'attributo
"display" settato a "none"), come mostrato nell'evidenza seguente:
Figura 2 – Il form per l'inserimento di un Iter è nascosto all'utente utilizzando l'attributo "Display:none"
Per far comparire le form di inserimento e modifica di un Iter, basta rimuovere l'attributo "Display":
Figura 3 – Dopo aver rimosso l'attributo "Display", è comparso il form per l'inserimento di un Iter
DOCUMENTO CONFIDENZIALE
Questo documento contiene informazioni confidenziali, pertanto né il documento né le informazioni in esso contenute possono essere pubblicate, riprodotte, 5
copiate, divulgate o utilizzate per scopi diversi da quelli per cui sono stati forniti senza espressa autorizzazione.
DATA
PENETRATION TEST APPLICATIVO 2021-07-23
CYBER SECURITY PRACTICE
Compilando tale form, è possibile inserire un nuovo Iter, bypassando i controlli client-side.
Accedendo, in seguito, con l'utente test_avv, è possibile verificare che l'inserimento dell'Iter effettuato in precedenza dall'utente
test_sac è andato a buon fine:
È stato possibile inserire un nuovo Iter con tutte le utenze di test forniteci.
Tale evidenza dimostra l’assenza di controlli lato server.
DOCUMENTO CONFIDENZIALE
Questo documento contiene informazioni confidenziali, pertanto né il documento né le informazioni in esso contenute possono essere pubblicate, riprodotte, 6
copiate, divulgate o utilizzate per scopi diversi da quelli per cui sono stati forniti senza espressa autorizzazione.
DATA
PENETRATION TEST APPLICATIVO 2021-07-23
CYBER SECURITY PRACTICE
Quando in un portale sono presenti form di autenticazione è buona norma utilizzare policy per le password forti e inserire
meccanismi che impediscano a un attaccante di eseguire attacchi di tipo brute-force per il recupero delle credenziali degli utenti.
ENDPOINT AFFETTI
http://idfb.regione.campania.it/Idfb/faces/login/login.xhtml
Di seguito viene mostrato come, tramite l'ausilio di tool semi-automatici, sia stato possibile eseguire numerosi tentativi di accesso
sulla pagina di login disponibile all'interno dell'applicazione Web, senza essere bloccati in alcun modo.
Sono stati effettuati circa 300 tentativi di login, tutti falliti tranne l'ultimo, in cui vengono utilizzate credenziali corrette, che va a
buon fine. Ciò dimostra l'assenza di meccanismi atti a proteggere l'applicazione da attacchi di tipo Bruteforce.
DOCUMENTO CONFIDENZIALE
Questo documento contiene informazioni confidenziali, pertanto né il documento né le informazioni in esso contenute possono essere pubblicate, riprodotte, 7
copiate, divulgate o utilizzate per scopi diversi da quelli per cui sono stati forniti senza espressa autorizzazione.
DATA
PENETRATION TEST APPLICATIVO 2021-07-23
CYBER SECURITY PRACTICE
L'applicazione trasmette dati sensibili su canali non cifrati che possono essere letti da attori malevoli attestati sulla stessa rete
dell'utente.
ENDPOINT AFFETTI
http://idfb.regione.campania.it/Idfb/faces/login/login.xhtml
L’analisi ha evidenziato che il portale trasmette in modo non cifrato (HTTP) tutto il traffico da e verso il Web Server, in particolare
è stato possibile intercettare l’username e la password da una richiesta di login, come indicato dall’endpoint nell’immagine
seguente:
Questo rappresenta un rischio grave in quanto un attaccante che portasse a termine con successo un attacco di tipo MiTM (Man
in The Middle) sarebbe in grado di osservare le comunicazioni degli utenti che stanno utilizzando il portale. Se durante questo
attacco venisse eseguito un accesso, l’attaccante sarebbe in grado di leggere in chiaro le credenziali di dominio dell’utente, quindi
accedere agli altri servizi a dominio.
DOCUMENTO CONFIDENZIALE
Questo documento contiene informazioni confidenziali, pertanto né il documento né le informazioni in esso contenute possono essere pubblicate, riprodotte, 8
copiate, divulgate o utilizzate per scopi diversi da quelli per cui sono stati forniti senza espressa autorizzazione.
DATA
PENETRATION TEST APPLICATIVO 2021-07-23
CYBER SECURITY PRACTICE
Durante lo sviluppo è possibile che gli oggetti e le relative proprietà vengano esposte senza considerare la criticità dei singoli dati
e del contesto di riferimento. In questo modo vengono esposte informazioni non necessarie agli utenti.
ENDPOINT AFFETTI
http://idfb.regione.campania.it/Idfb/faces/home/homeUtente.xhtml
Durante le analisi di sicurezza, sono state trovate alcune sezioni dell'applicativo che espongono informazioni critiche, tra cui i
parametri di configurazione del server di posta elettronica e quelli del Domain Controller su cui risiede il servizio di dominio Active
Directory.
Nelle seguenti immagini è possibile notare come tali informazioni vengano servite all'utente in chiaro:
DOCUMENTO CONFIDENZIALE
Questo documento contiene informazioni confidenziali, pertanto né il documento né le informazioni in esso contenute possono essere pubblicate, riprodotte, 9
copiate, divulgate o utilizzate per scopi diversi da quelli per cui sono stati forniti senza espressa autorizzazione.
DATA
PENETRATION TEST APPLICATIVO 2021-07-23
CYBER SECURITY PRACTICE
Tale situazione consente ad un potenziale attaccante di estendere la superficie di attacco non solo all'applicazione Web, ma anche
ad altri servizi del server Web. Un utente attestato sulla stessa rete del server Web, ad esempio, potrebbe utilizzare tali parametri
di configurazione per interagire col servizio Active Directoy o con il server di posta elettronica.
DOCUMENTO CONFIDENZIALE
Questo documento contiene informazioni confidenziali, pertanto né il documento né le informazioni in esso contenute possono essere pubblicate, riprodotte, 10
copiate, divulgate o utilizzate per scopi diversi da quelli per cui sono stati forniti senza espressa autorizzazione.
DATA
PENETRATION TEST APPLICATIVO 2021-07-23
CYBER SECURITY PRACTICE
Modificando opportunamente alcuni campi delle richieste HTTP è possibile generare errori che mostrino informazioni utili; allo
stesso modo possono essere esposte risorse che mostrino informazioni senza necessità di eseguire azioni invasive.
ENDPOINT AFFETTI
http://idfb.regione.campania.it/Idfb/faces/login/login.xhtml
http://idfb.regione.campania.it/examples/jsp/snp/snoop.jsp
http://idfb.regione.campania.it/Idfb/faces/home
Dall'analisi è emerso che il Web Server risponde alle richieste inviando un header che rivela la versione del Web server utilizzato:
HTTP/1.1 200 OK
Connection: Keep-Alive
Content-Type: text/html;charset=UTF-8
Date: Mon, 19 Jul 2021 10:02:07 GMT
Keep-Alive: timeout=5, max=100
Server: Apache-Coyote/1.1
Set-Cookie: JSESSIONID=D57BE7F37F36E18B9D58E111A9A0833E; Path=/Idfb; HttpOnly
Transfer-Encoding: chunked
Inoltre, è presente una risorsa che rivela l'indirizzo IP privato del Web server, come mostrato nell'evidenza sottostante:
DOCUMENTO CONFIDENZIALE
Questo documento contiene informazioni confidenziali, pertanto né il documento né le informazioni in esso contenute possono essere pubblicate, riprodotte, 11
copiate, divulgate o utilizzate per scopi diversi da quelli per cui sono stati forniti senza espressa autorizzazione.
DATA
PENETRATION TEST APPLICATIVO 2021-07-23
CYBER SECURITY PRACTICE
L'applicazione rivela informazioni applicative circa l'utilizzo di Apache Tomcat e la relativa versione:
DOCUMENTO CONFIDENZIALE
Questo documento contiene informazioni confidenziali, pertanto né il documento né le informazioni in esso contenute possono essere pubblicate, riprodotte, 12
copiate, divulgate o utilizzate per scopi diversi da quelli per cui sono stati forniti senza espressa autorizzazione.
DATA
PENETRATION TEST APPLICATIVO 2021-07-23
CYBER SECURITY PRACTICE
Durante un test di sicurezza su applicazioni o server web è possibile causare errori di visualizzazione utilizzando una richiesta
realizzata appositamente. Questi errori sono molto utili ai penetration tester durante la loro attività, perché rivelano molte
informazioni su database, bug e altri componenti tecnologici direttamente collegati alle applicazioni web.
L'aspetto più importante per questa attività è focalizzare l'attenzione su questi errori, considerandoli come una raccolta di
informazioni che saranno di aiuto nelle diverse fasi dell’analisi. Una buona raccolta può facilitare l'efficienza della valutazione
diminuendo il tempo complessivo necessario per eseguire il penetration test, ma soprattutto può permettere di individuare e
sfruttare vulnerabilità che altrimenti potrebbero passare inosservate.
ENDPOINT AFFETTI
http://idfb.regione.campania.it/Idfb/faces/
Visitando idfb.regione.campania.it/Idfb/faces/ è possibile vedere, tramite una gestione degli errori non configurata correttamente,
lo stack tecnologico dell'applicazione.
Figura 11 – L'applicazione rivela informazioni infrastrutturali a causa di una non corretta gestione degli errori
DOCUMENTO CONFIDENZIALE
Questo documento contiene informazioni confidenziali, pertanto né il documento né le informazioni in esso contenute possono essere pubblicate, riprodotte, 13
copiate, divulgate o utilizzate per scopi diversi da quelli per cui sono stati forniti senza espressa autorizzazione.
DATA
PENETRATION TEST APPLICATIVO 2021-07-23
CYBER SECURITY PRACTICE
Il Clickjacking è una particolare tecnica di attacco che consiste nell'ingannare un Utente dell'applicazione a cliccare su qualcosa di
diverso da ciò che esso si aspetta, così rivelando, potenzialmente, informazioni confidenziali. Il Web Server non ha fornito nessun
Header X-Frame-Options nella risposta, rendendo così vulnerabile l'applicazione ad attacchi di Clickjacking. Le applicazioni Web
che fanno uso di questo Header hanno garanzia del fatto che il contenuto delle proprie pagine non sia incluso in altre applicazioni
Web.
ENDPOINT AFFETTI
http://idfb.regione.campania.it/Idfb/faces/login/login.xhtml
Durante la fase di analisi non è stata rilevata alcuna contromisura per prevenire attacchi di tipo Clickjacking. Nella figura sottostante
viene fornita evidenza della risposta del Web Server, in cui è assente l'integrazione dell'Header X-Frame-Options appropriato, atto
a prevenire attacchi di tipo Clickjacking:
DOCUMENTO CONFIDENZIALE
Questo documento contiene informazioni confidenziali, pertanto né il documento né le informazioni in esso contenute possono essere pubblicate, riprodotte, 14
copiate, divulgate o utilizzate per scopi diversi da quelli per cui sono stati forniti senza espressa autorizzazione.
DATA
PENETRATION TEST APPLICATIVO 2021-07-23
CYBER SECURITY PRACTICE
Di seguito, viene dimostrata la possibilità di includere l’applicazione all’interno di un iframe proveniente da risorse esterne al fine
di effettuare attacchi di tipo Clickjacking:
DOCUMENTO CONFIDENZIALE
Questo documento contiene informazioni confidenziali, pertanto né il documento né le informazioni in esso contenute possono essere pubblicate, riprodotte, 15
copiate, divulgate o utilizzate per scopi diversi da quelli per cui sono stati forniti senza espressa autorizzazione.
DATA
PENETRATION TEST APPLICATIVO 2021-07-23
CYBER SECURITY PRACTICE
3. RIMEDI
È possibile aggiungere e modificare Iter arbitrari con utenze che non dovrebbero avere i permessi necessari per farlo.
ENDPOINT AFFETTI
http://idfb.regione.campania.it/Idfb/faces/home/homeUtente.xhtml
RIMEDI
Si consiglia di effettuare verifiche lato server per questioni di sicurezza in aggiunta alle verifiche già effettuate lato client, per
evitare che queste ultime vengano bypassate.
È possibile eseguire attacchi di tipo brute-force per ricavare le credenziali per l’accesso al portale.
ENDPOINT AFFETTI
http://idfb.regione.campania.it/Idfb/faces/login/login.xhtml
RIMEDI
Si consiglia di implementare meccanismi contro il bruteforcing come il CAPTCHA per i form di login sul portale o di implementare
un limite massimo alle richieste consecutive che un utente può fare, aggiungendo delay, blocchi di indirizzi IP, ecc.
ENDPOINT AFFETTI
http://idfb.regione.campania.it/Idfb/faces/login/login.xhtml
RIMEDI
DOCUMENTO CONFIDENZIALE
Questo documento contiene informazioni confidenziali, pertanto né il documento né le informazioni in esso contenute possono essere pubblicate, riprodotte, 16
copiate, divulgate o utilizzate per scopi diversi da quelli per cui sono stati forniti senza espressa autorizzazione.
DATA
PENETRATION TEST APPLICATIVO 2021-07-23
CYBER SECURITY PRACTICE
Sono esposte informazioni critiche che potrebbero essere eliminate senza impatti sulla piattaforma.
ENDPOINT AFFETTI
http://idfb.regione.campania.it/Idfb/faces/home/homeUtente.xhtml
RIMEDI
Si consiglia di esporre solamente informazioni e funzioni strettamente necessarie al corretto funzionamento dell’applicazione,
utilizzando ad esempio un file di configurazione direttamente all'interno del server.
Sono presenti risorse che espongono dettagli e informazioni applicative/infrastrutturali utili a un attaccante.
ENDPOINT AFFETTI
http://idfb.regione.campania.it/Idfb/faces/login/login.xhtml
http://idfb.regione.campania.it/examples/jsp/snp/snoop.jsp
http://idfb.regione.campania.it/Idfb/faces/home
RIMEDI
Si consiglia di rimuovere tutte quelle risorse che espongono informazioni utili a un attaccante. In generale è buona prassi
eliminare ogni risorsa che non sia strettamente necessaria al corretto funzionamento della piattaforma.
Sono presenti errori non gestiti che espongono dettagli e informazioni applicative/infrastrutturali utili a un attaccante.
ENDPOINT AFFETTI
http://idfb.regione.campania.it/Idfb/faces/
RIMEDI
Si consiglia di non esporre mai errori che mostrino dettagli su tecnologie applicative e infrastrutturali e di utilizzare pagine di
errore personalizzate e il più possibile generiche.
DOCUMENTO CONFIDENZIALE
Questo documento contiene informazioni confidenziali, pertanto né il documento né le informazioni in esso contenute possono essere pubblicate, riprodotte, 17
copiate, divulgate o utilizzate per scopi diversi da quelli per cui sono stati forniti senza espressa autorizzazione.
DATA
PENETRATION TEST APPLICATIVO 2021-07-23
CYBER SECURITY PRACTICE
http://idfb.regione.campania.it/Idfb/faces/login/login.xhtml
RIMEDI
Si consiglia di utilizzare l'Header X-Frame-Options per indicare al browser se gli è permesso mostrare pagine dentro dei frame o
iframe.
DOCUMENTO CONFIDENZIALE
Questo documento contiene informazioni confidenziali, pertanto né il documento né le informazioni in esso contenute possono essere pubblicate, riprodotte, 18
copiate, divulgate o utilizzate per scopi diversi da quelli per cui sono stati forniti senza espressa autorizzazione.
CYBER SECURITY PRACTICE
Valutazione dell’impatto
L’impatto delle vulnerabilità riscontrate è stato attribuito sulla base del Common Vulnerability Scoring System (CVSS), uno
standard industriale per la valutazione dell’impatto sulla sicurezza di una vulnerabilità prendendo in considerazione il rischio,
l’esposizione dell’applicazione, difficoltà tecniche per lo sfruttamento, il contesto di business e altri fattori. Ogni società ha una
differente sensibilità al rischio di una vulnerabilità, quindi i valori di impatto segnalati devono essere presi più come line guida che
come valori assoluti.