2021.06.25 - PT - Marc - Portale - Por-Fesr

CYBER SECURITY PRACTICE
Penetration Test Applicativo

Monitoraggio Ambientale Regione Campania
Portale POR-FESR
DOCUMENTO CONFIDENZIALE
Questo documento contiene informazioni confidenziali, pertanto né il documento né le informazioni in esso contenute possono essere pubblicate, riprodotte,
copiate, divulgate o utilizzate per scopi diversi da quelli per cui sono stati forniti senza espressa autorizzazione.
SOMMARIO
1. Rapporto esecutivo ...................................................................................................................................................................... 1

1.1. Perimetro dei sistemi target e finestra temporale .............................................................................................................. 1
1.2. Sommario dei risultati ......................................................................................................................................................... 2
1.3. Sommario delle vulnerabilità .............................................................................................................................................. 3
2. Dettagli tecnici ............................................................................................................................................................................. 4
2.1. Cross-Site Scripting (Reflected) ........................................................................................................................................... 4
2.2. Cleartext Transmission of Sensitive Information ................................................................................................................ 5
2.3. Exposed Administrative Interface ....................................................................................................................................... 6
2.4. Clickjacking: X-Frame-Options Header missing ................................................................................................................... 7
2.5. Directory Listing .................................................................................................................................................................. 9
2.6. Information Disclosure ...................................................................................................................................................... 11
3. Rimedi ........................................................................................................................................................................................ 13
Appendice A: Classificazione del rischio ............................................................................................................................................. 15
Questo documento contiene informazioni confidenziali, pertanto né il documento né le informazioni in esso contenute possono essere pubblicate, riprodotte,
DATA
PENETRATION TEST APPLICATIVO 2021-06-25
1. RAPPORTO ESECUTIVO
È stato eseguito un Penetration Test Applicativo in modalità Black Box sull’applicazione “Portale POR-FESR” di Monitoraggio
Ambientale Regione Campania al fine di verificarne il livello di sicurezza. La classificazione Black Box indica che il penetration tester
che svolge l’attività non ha conoscenza dei dettagli interni sul sistema oggetto delle analisi. L’analista può eventualmente utilizzare
informazioni disponibili su internet. Altre informazioni possono essere ottenute durante le fasi iniziali dell’attività tramite l’analisi
del comportamento dell’applicazione. I penetration test di tipo Black Box permettono di dare visione delle vulnerabilità e delle
debolezze sfruttabili da un attaccante reale. Il seguente report mostra quali vulnerabilità sono presenti nel perimetro in analisi,
come queste possano essere sfruttate e l’impatto che si avrebbe nel farlo.
I test sono stati svolti simulando un attaccante reale, ma in accordo con le regole di ingaggio definite e concordate tra Monitoraggio
Ambientale Regione Campania (cliente) e AlmavivA S.p.a. (fornitore).
Durante le attività sono stati utilizzati i seguenti standard:

• ISECOM OSSTMM (Open-Source Security Testing Methodology Manual)
• OWASP WSTG (Web Security Testing Guide)
1.1. PERIMETRO DEI SISTEMI TARGET E FINESTRA TEMPORALE

Le attività sono state eseguite in ambito statico, dinamico ed applicativo; di seguito si riportano i riferimenti dei server in perimetro:
Applicazione Dominio/URL
Portale POR-FESR http://porfesr.regione.campania.it
Le analisi sono state condotte sui target sopra elencati, nei periodi di seguito riportati:
Data di inizio Data di fine Orario
2021-06-21 2021-06-25 00:00 - 24:00
Questo documento contiene informazioni confidenziali, pertanto né il documento né le informazioni in esso contenute possono essere pubblicate, riprodotte, 1
DATA
1.2. SOMMARIO DEI RISULTATI

Di seguito il grafico che mostra la distribuzione delle vulnerabilità per classificazione di rischio come dettagliato in appendice A:
1 2
Critico Alto Medio Basso
DATA
1.3. SOMMARIO DELLE VULNERABILITÀ

Vulnerabilità Descrizione
Cross-Site Scripting
ALTO
È possibile eseguire codice JavaScript arbitrario sul browser della vittima.

(Reflected)
Cleartext Transmission of
L'applicazione trasmette dati sensibili su canali non cifrati.
Sensitive Information
MEDIO
Exposed Administrative
Il pannello di login amministrativo è esposto pubblicamente.
Interface
Clickjacking: X-Frame- Il Web Server non ha fornito nessun Header X-Frame-Options nella risposta, rendendo
Options Header missing così vulnerabile l'applicazione ad attacchi di Clickjacking.
BASSO
Directory Listing Il server web mostra l'elenco del contenuto delle directory.
Sono presenti risorse che espongono dettagli e informazioni applicative/infrastrutturali

Information Disclosure
utili a un attaccante.
Alla luce di quanto emerso, si consiglia di intraprendere azioni correttive indicate nel capitolo Rimedi.
Si consiglia inoltre di:
• Sottoporre i sistemi target ad un monitoraggio di sicurezza host-based, ossia tramite agent. Per maggiori dettagli contattare il
Computer Security Incident Response Team (CSIRT) all'indirizzo csirt@almaviva.it
• Verificare se le vulnerabilità descritte siano note al pubblico, quindi se siano già state sfruttate o abbiamo causato un Data
Breach. Per tale analisi, è possibile eseguire un’attività di Threat Intelligence, pertanto contattare il gruppo Security Assessment
Team all’indirizzo SecurityAssessmentTeam@almaviva.it
• Verificare se nei log ci siano tracce di sfruttamento delle vulnerabilità descritte, quindi se ci siano i presupposti per procedere,
come indicato dal Regolamento Europeo GDPR, a Data Breach Notification. Per maggiori dettagli contattare il Security
Assessment Team all’indirizzo SecurityAssessmentTeam@almaviva.it
DATA
2. DETTAGLI TECNICI
2.1. CROSS-SITE SCRIPTING (REFLECTED) ALTO (8.1)
Gli attacchi di tipo Cross-Site Scripting sfruttano un tipo di injection che permette ad un attaccante di eseguire codice JavaScript
malevolo sul browser della vittima, generalmente a scopo di Phishing per rubare credenziali di accesso. Il termine “Reflected” indica
che il codice malevolo viene iniettato utilizzando un parametro di una chiamata HTTP. Se l’utente finale viene indotto a cliccare sul
link generato appositamente dall’attaccante, il browser eseguirà del codice JavaScript arbitrario.
Confidenzialità: Alta Integrità: Alta

Privilegi richiesti: Nessuno Disponibilità: Nessuna
ENDPOINT AFFETTI
http://porfesr.regione.campania.it/grandiprogetti/index.php?f=dettaglio&id=<script>alert(document.domain)</script>
Durante l'analisi è stato possibile eseguire del codice JavaScript arbitrario sul browser di una potenziale vittima.
Nell'immagine seguente viene eseguito un alert tramite uno script JavaScript inserito dentro il parametro "id".
Figura 1 – Parametro "id" alterato con l'esecuzione di un alert JavaScript.
DATA
2.2. CLEARTEXT TRANSMISSION OF SENSITIVE INFORMATION MEDIO (5.7)
L'applicazione trasmette dati sensibili su canali non cifrati che possono essere letti da attori malevoli attestati sulla stessa rete
dell'utente.
Confidenzialità: Alta Integrità: Nessuna

ENDPOINT AFFETTI
http://porfesr.regione.campania.it
Come da evidenze, l'applicazione utilizza canali non cifrati di tipo HTTP. Un eventuale attaccante che si trova nella stessa rete della
vittima potrebbe intercettare le richieste e le risposte inoltrate al Web Server consentendogli così di leggere dati personali come
username, password o altre informazioni con un attacco di tipo MITM (Man In The Middle).
Figura 2 – L'applicazione utilizza canali di trasmissione dati non cifrati
DATA
2.3. EXPOSED ADMINISTRATIVE INTERFACE MEDIO (4.0)
Un pannello di login amministrativo esposto può consentire agli avversari di eseguire accessi non autorizzati, soprattutto se i
controlli di accesso sono limitati alle sole combinazioni di nome utente e password. Questa situazione consente utilizzando un
attacco di tipo Brute Force l'ottenimento di credenziali, oppure, nel caso di sistemi non protetti, l'accesso sfruttando le vulnerabilità
note.
Confidenzialità: Nessuna Integrità: Nessuna

Privilegi richiesti: Nessuno Disponibilità: Bassa
ENDPOINT AFFETTI
http://porfesr.regione.campania.it/admin/auth/login
Accedendo all’indirizzo http://porfesr.regione.campania.it/admin/auth/login viene richiesta autenticazione, dimostrando che

chiunque in possesso delle credenziali sarebbe in grado di accedere al pannello di amministrazione dell'applicazione.
Figura 3 – Il pannello di amministrazione esposto.
DATA
2.4. CLICKJACKING: X-FRAME-OPTIONS HEADER MISSING BASSO (2.4)
Il Clickjacking è una particolare tecnica di attacco che consiste nell'ingannare un Utente dell'applicazione a cliccare su qualcosa di
diverso da ciò che esso si aspetta, così rivelando, potenzialmente, informazioni confidenziali. Il Web Server non ha fornito nessun
Header X-Frame-Options nella risposta, rendendo così vulnerabile l'applicazione ad attacchi di Clickjacking. Le applicazioni Web
che fanno uso di questo Header hanno garanzia del fatto che il contenuto delle proprie pagine non sia incluso in altre applicazioni
Web.
Confidenzialità: Nessuna Integrità: Bassa

ENDPOINT AFFETTI
Durante la fase di analisi non è stata rilevata alcuna contromisura per prevenire attacchi di tipo Clickjacking. Nella figura sottostante
viene fornita evidenza della risposta del Web Server, in cui è assente l'integrazione dell'Header X-Frame-Options appropriato, atto
a prevenire attacchi di tipo Clickjacking:
Figura 4 – Assenza dell'header X-Frame-Options nella risposta.
DATA
Di seguito, viene dimostrata la possibilità di includere l’applicazione all’interno di un iframe proveniente da risorse esterne al fine
di effettuare attacchi di tipo Clickjacking:
Figura 5 – Un esempio di clickjacking
DATA
2.5. DIRECTORY LISTING BASSO (2.4)
I server web possono essere configurati in modo da elencare automaticamente i contenuti delle directory. Ciò può aiutare un
attaccante consentendogli di identificare rapidamente le risorse in un determinato percorso e di procedere direttamente all'analisi
e all'attacco di tali risorse. Ciò aumenta il rischio se la directory espone file sensibili all'interno che non sono destinati ad essere
accessibili agli utenti, come i file temporanei e i crash dump.
Le directory stesse non costituiscono necessariamente una vulnerabilità di sicurezza. Qualsiasi risorsa sensibile all'interno della
radice del web dovrebbe in ogni caso essere adeguatamente controllata nell'accesso e non dovrebbe essere accessibile da un
soggetto non autorizzato che per caso conosce o indovina l'URL. Anche quando gli elenchi di directory sono disabilitati, un
aggressore può indovinare la posizione dei file sensibili utilizzando strumenti automatizzati.
Confidenzialità: Bassa Integrità: Nessuna

ENDPOINT AFFETTI
http://porfesr.regione.campania.it/assets/
http://porfesr.regione.campania.it/temp/
Durante le analisi dell'applicazione sono state rilevate risorse che elencano il contenuto delle directory del Web Server:
Figura 6 – Directory Listing
DATA
Figura 7 – Directory Listing
DATA
2.6. INFORMATION DISCLOSURE BASSO (1.6)
Modificando opportunamente alcuni campi delle richieste HTTP è possibile generare errori che mostrino informazioni utili; allo
stesso modo possono essere esposte risorse che mostrino informazioni senza necessità di eseguire azioni invasive.
Confidenzialità: Bassa Integrità: Nessuna

ENDPOINT AFFETTI
http://porfesr.regione.campania.it/
http://porfesr.regione.campania.it/info
http://porfesr.regione.campania.it/grandiprogetti/index.php
Durante le analisi, è stato possibile, attraverso gli header di risposta ricavare la versione del WebServer e il linguaggio di
programmazione utilizzato, come da evidenza sottostante:
HTTP/1.1 200 OK
Date: Tue, 22 Jun 2021 14:02:34 GMT
Server: Apache/2.2.15 (CentOS)
X-Powered-By: PHP/5.3.3
Content-Type: text/html; charset=UTF-8
Connection: close
Content-Length: 16837
È presente una risorsa che mostra la configurazione del Web Server in uso:
Figura 8 – File PHP Info
DATA
Visitando l'endpoint /grandiprogetti/index.php è possibile notare come una query SQL vada in errore,
Tabella "porfesr.attività" non esistente , rivelando informazioni applicative come ad esempio l'utilizzo di MySQL.
Figura 9 – Errore MySQL non gestito
DATA
3. RIMEDI
ALTO Cross-Site Scripting (Reflected)

DESCRIZIONE
È possibile eseguire codice JavaScript arbitrario sul browser della vittima.
ENDPOINT AFFETTI
http://porfesr.regione.campania.it/grandiprogetti/index.php?f=dettaglio&id=<script>alert(document.domain)</script>
RIMEDI
Si consiglia di validare e sanitizzare gli input dell’utente da caratteri che agiscano sulla sintassi del DOM quali ‘”<>\/.
MEDIO Cleartext Transmission of Sensitive Information

DESCRIZIONE
L'applicazione trasmette dati sensibili su canali non cifrati.
ENDPOINT AFFETTI
RIMEDI
Si consiglia di non trasmettere informazioni sensibili su connessioni non cifrate.
MEDIO Exposed Administrative Interface

DESCRIZIONE
Il pannello di login amministrativo è esposto pubblicamente.
ENDPOINT AFFETTI
http://porfesr.regione.campania.it/admin/auth/login
RIMEDI
Si consiglia di segregare l’accesso dell’interfaccia amministrativa solo agli utenti autorizzati.
DATA
BASSO Clickjacking: X-Frame-Options Header missing

DESCRIZIONE
Il Web Server non ha fornito nessun Header X-Frame-Options nella risposta, rendendo così vulnerabile l'applicazione ad attacchi
di Clickjacking.
ENDPOINT AFFETTI
RIMEDI
Si consiglia di utilizzare l'Header X-Frame-Options per indicare al browser se gli è permesso mostrare pagine dentro dei frame o
iframe.
BASSO Directory Listing

DESCRIZIONE
Il server web mostra l'elenco del contenuto delle directory.
ENDPOINT AFFETTI
http://porfesr.regione.campania.it/assets/
http://porfesr.regione.campania.it/temp/
RIMEDI
Si consiglia di configurare il proprio server web in modo da impedire l'inserimento di elenchi di directory per tutti i percorsi sotto
la web-root.
BASSO Information Disclosure

DESCRIZIONE
Sono presenti risorse che espongono dettagli e informazioni applicative/infrastrutturali utili a un attaccante.
ENDPOINT AFFETTI
http://porfesr.regione.campania.it/
http://porfesr.regione.campania.it/info
http://porfesr.regione.campania.it/grandiprogetti/index.php
RIMEDI
Si consiglia di rimuovere tutte quelle risorse che espongono informazioni utili a un attaccante. In generale è buona prassi
eliminare ogni risorsa che non sia strettamente necessaria al corretto funzionamento della piattaforma.
APPENDICE A: CLASSIFICAZIONE DEL RISCHIO
Valutazione dell’impatto
L’impatto delle vulnerabilità riscontrate è stato attribuito sulla base del Common Vulnerability Scoring System (CVSS), uno
standard industriale per la valutazione dell’impatto sulla sicurezza di una vulnerabilità prendendo in considerazione il rischio,
l’esposizione dell’applicazione, difficoltà tecniche per lo sfruttamento, il contesto di business e altri fattori. Ogni società ha una
differente sensibilità al rischio di una vulnerabilità, quindi i valori di impatto segnalati devono essere presi più come line guida che
come valori assoluti.
Impatto Intervallo CVSS Descrizione

Questo tipo di vulnerabilità rappresenta un alto livello di minaccia di sicurezza,
mettendo a rischio il sistema ed esponendo anche a rischi di escalation dei
CRITICO 9.0 – 10.0
privilegi con attacchi semplici ed immediati alla portata di qualsiasi tipo di
attaccante.
Questo tipo di vulnerabilità rappresenta un alto livello di minaccia di sicurezza,
mettendo a rischio il sistema ed esponendo anche a rischi di escalation dei
ALTO 7.0 - 8.9
privilegi fino a livelli amministrativi ed esponendo alla compromissione delle
informazioni più sensibili.
Questo tipo di vulnerabilità permettono l’accesso ad informazioni non critiche
MEDIO 4.0 - 6.9
o comunque non importanti in termini di impatto.
Questo tipo di vulnerabilità rappresentano il livello più lieve per la sicurezza del
BASSO 0.1 - 3.9 sistema, ma possono essere utili in caso di attacco mirato per cui la loro
mitigazione può risultare non indispensabile anche se comunque consigliato.

2021.06.25 - PT - Marc - Portale - Por-Fesr

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

2021.06.25 - PT - Marc - Portale - Por-Fesr

Caricato da

Copyright:

Formati disponibili

CYBER SECURITY PRACTICE

Penetration Test Applicativo

1. Rapporto esecutivo ...................................................................................................................................................................... 1

Durante le attività sono stati utilizzati i seguenti standard:

1.1. PERIMETRO DEI SISTEMI TARGET E FINESTRA TEMPORALE

Portale POR-FESR http://porfesr.regione.campania.it

Data di inizio Data di fine Orario

2021-06-21 2021-06-25 00:00 - 24:00

1.2. SOMMARIO DEI RISULTATI

Critico Alto Medio Basso

1.3. SOMMARIO DELLE VULNERABILITÀ

È possibile eseguire codice JavaScript arbitrario sul browser della vittima.

Sono presenti risorse che espongono dettagli e informazioni applicative/infrastrutturali

Si consiglia inoltre di:

2.1. CROSS-SITE SCRIPTING (REFLECTED) ALTO (8.1)

Confidenzialità: Alta Integrità: Alta

Figura 1 – Parametro "id" alterato con l'esecuzione di un alert JavaScript.

2.2. CLEARTEXT TRANSMISSION OF SENSITIVE INFORMATION MEDIO (5.7)

Confidenzialità: Alta Integrità: Nessuna

Figura 2 – L'applicazione utilizza canali di trasmissione dati non cifrati

2.3. EXPOSED ADMINISTRATIVE INTERFACE MEDIO (4.0)

Confidenzialità: Nessuna Integrità: Nessuna

Accedendo all’indirizzo http://porfesr.regione.campania.it/admin/auth/login viene richiesta autenticazione, dimostrando che

Figura 3 – Il pannello di amministrazione esposto.

2.4. CLICKJACKING: X-FRAME-OPTIONS HEADER MISSING BASSO (2.4)

Confidenzialità: Nessuna Integrità: Bassa

Figura 4 – Assenza dell'header X-Frame-Options nella risposta.

Figura 5 – Un esempio di clickjacking

2.5. DIRECTORY LISTING BASSO (2.4)

Confidenzialità: Bassa Integrità: Nessuna

Figura 6 – Directory Listing

Figura 7 – Directory Listing

2.6. INFORMATION DISCLOSURE BASSO (1.6)

Confidenzialità: Bassa Integrità: Nessuna

Figura 8 – File PHP Info

Figura 9 – Errore MySQL non gestito

ALTO Cross-Site Scripting (Reflected)

È possibile eseguire codice JavaScript arbitrario sul browser della vittima.

MEDIO Cleartext Transmission of Sensitive Information

L'applicazione trasmette dati sensibili su canali non cifrati.

Si consiglia di non trasmettere informazioni sensibili su connessioni non cifrate.

MEDIO Exposed Administrative Interface

Il pannello di login amministrativo è esposto pubblicamente.

Si consiglia di segregare l’accesso dell’interfaccia amministrativa solo agli utenti autorizzati.

BASSO Clickjacking: X-Frame-Options Header missing

BASSO Directory Listing

Il server web mostra l'elenco del contenuto delle directory.

BASSO Information Disclosure

APPENDICE A: CLASSIFICAZIONE DEL RISCHIO

Impatto Intervallo CVSS Descrizione

Potrebbero piacerti anche