Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
DOCUMENTO CONFIDENZIALE
Questo documento contiene informazioni confidenziali, pertanto né il documento né le informazioni in esso contenute possono essere pubblicate, riprodotte,
copiate, divulgate o utilizzate per scopi diversi da quelli per cui sono stati forniti senza espressa autorizzazione.
CYBER SECURITY PRACTICE
SOMMARIO
DOCUMENTO CONFIDENZIALE
Questo documento contiene informazioni confidenziali, pertanto né il documento né le informazioni in esso contenute possono essere pubblicate, riprodotte,
copiate, divulgate o utilizzate per scopi diversi da quelli per cui sono stati forniti senza espressa autorizzazione.
DATA
PENETRATION TEST APPLICATIVO 2021-06-25
CYBER SECURITY PRACTICE
1. RAPPORTO ESECUTIVO
È stato eseguito un Penetration Test Applicativo in modalità Black Box sull’applicazione “Portale POR-FESR” di Monitoraggio
Ambientale Regione Campania al fine di verificarne il livello di sicurezza. La classificazione Black Box indica che il penetration tester
che svolge l’attività non ha conoscenza dei dettagli interni sul sistema oggetto delle analisi. L’analista può eventualmente utilizzare
informazioni disponibili su internet. Altre informazioni possono essere ottenute durante le fasi iniziali dell’attività tramite l’analisi
del comportamento dell’applicazione. I penetration test di tipo Black Box permettono di dare visione delle vulnerabilità e delle
debolezze sfruttabili da un attaccante reale. Il seguente report mostra quali vulnerabilità sono presenti nel perimetro in analisi,
come queste possano essere sfruttate e l’impatto che si avrebbe nel farlo.
I test sono stati svolti simulando un attaccante reale, ma in accordo con le regole di ingaggio definite e concordate tra Monitoraggio
Ambientale Regione Campania (cliente) e AlmavivA S.p.a. (fornitore).
Applicazione Dominio/URL
Le analisi sono state condotte sui target sopra elencati, nei periodi di seguito riportati:
DOCUMENTO CONFIDENZIALE
Questo documento contiene informazioni confidenziali, pertanto né il documento né le informazioni in esso contenute possono essere pubblicate, riprodotte, 1
copiate, divulgate o utilizzate per scopi diversi da quelli per cui sono stati forniti senza espressa autorizzazione.
DATA
PENETRATION TEST APPLICATIVO 2021-06-25
CYBER SECURITY PRACTICE
1 2
DOCUMENTO CONFIDENZIALE
Questo documento contiene informazioni confidenziali, pertanto né il documento né le informazioni in esso contenute possono essere pubblicate, riprodotte, 2
copiate, divulgate o utilizzate per scopi diversi da quelli per cui sono stati forniti senza espressa autorizzazione.
DATA
PENETRATION TEST APPLICATIVO 2021-06-25
CYBER SECURITY PRACTICE
Cross-Site Scripting
ALTO
Cleartext Transmission of
L'applicazione trasmette dati sensibili su canali non cifrati.
Sensitive Information
MEDIO
Exposed Administrative
Il pannello di login amministrativo è esposto pubblicamente.
Interface
Clickjacking: X-Frame- Il Web Server non ha fornito nessun Header X-Frame-Options nella risposta, rendendo
Options Header missing così vulnerabile l'applicazione ad attacchi di Clickjacking.
BASSO
Directory Listing Il server web mostra l'elenco del contenuto delle directory.
Alla luce di quanto emerso, si consiglia di intraprendere azioni correttive indicate nel capitolo Rimedi.
• Sottoporre i sistemi target ad un monitoraggio di sicurezza host-based, ossia tramite agent. Per maggiori dettagli contattare il
Computer Security Incident Response Team (CSIRT) all'indirizzo csirt@almaviva.it
• Verificare se le vulnerabilità descritte siano note al pubblico, quindi se siano già state sfruttate o abbiamo causato un Data
Breach. Per tale analisi, è possibile eseguire un’attività di Threat Intelligence, pertanto contattare il gruppo Security Assessment
Team all’indirizzo SecurityAssessmentTeam@almaviva.it
• Verificare se nei log ci siano tracce di sfruttamento delle vulnerabilità descritte, quindi se ci siano i presupposti per procedere,
come indicato dal Regolamento Europeo GDPR, a Data Breach Notification. Per maggiori dettagli contattare il Security
Assessment Team all’indirizzo SecurityAssessmentTeam@almaviva.it
DOCUMENTO CONFIDENZIALE
Questo documento contiene informazioni confidenziali, pertanto né il documento né le informazioni in esso contenute possono essere pubblicate, riprodotte, 3
copiate, divulgate o utilizzate per scopi diversi da quelli per cui sono stati forniti senza espressa autorizzazione.
DATA
PENETRATION TEST APPLICATIVO 2021-06-25
CYBER SECURITY PRACTICE
2. DETTAGLI TECNICI
Gli attacchi di tipo Cross-Site Scripting sfruttano un tipo di injection che permette ad un attaccante di eseguire codice JavaScript
malevolo sul browser della vittima, generalmente a scopo di Phishing per rubare credenziali di accesso. Il termine “Reflected” indica
che il codice malevolo viene iniettato utilizzando un parametro di una chiamata HTTP. Se l’utente finale viene indotto a cliccare sul
link generato appositamente dall’attaccante, il browser eseguirà del codice JavaScript arbitrario.
ENDPOINT AFFETTI
http://porfesr.regione.campania.it/grandiprogetti/index.php?f=dettaglio&id=<script>alert(document.domain)</script>
Durante l'analisi è stato possibile eseguire del codice JavaScript arbitrario sul browser di una potenziale vittima.
Nell'immagine seguente viene eseguito un alert tramite uno script JavaScript inserito dentro il parametro "id".
DOCUMENTO CONFIDENZIALE
Questo documento contiene informazioni confidenziali, pertanto né il documento né le informazioni in esso contenute possono essere pubblicate, riprodotte, 4
copiate, divulgate o utilizzate per scopi diversi da quelli per cui sono stati forniti senza espressa autorizzazione.
DATA
PENETRATION TEST APPLICATIVO 2021-06-25
CYBER SECURITY PRACTICE
L'applicazione trasmette dati sensibili su canali non cifrati che possono essere letti da attori malevoli attestati sulla stessa rete
dell'utente.
ENDPOINT AFFETTI
http://porfesr.regione.campania.it
Come da evidenze, l'applicazione utilizza canali non cifrati di tipo HTTP. Un eventuale attaccante che si trova nella stessa rete della
vittima potrebbe intercettare le richieste e le risposte inoltrate al Web Server consentendogli così di leggere dati personali come
username, password o altre informazioni con un attacco di tipo MITM (Man In The Middle).
DOCUMENTO CONFIDENZIALE
Questo documento contiene informazioni confidenziali, pertanto né il documento né le informazioni in esso contenute possono essere pubblicate, riprodotte, 5
copiate, divulgate o utilizzate per scopi diversi da quelli per cui sono stati forniti senza espressa autorizzazione.
DATA
PENETRATION TEST APPLICATIVO 2021-06-25
CYBER SECURITY PRACTICE
Un pannello di login amministrativo esposto può consentire agli avversari di eseguire accessi non autorizzati, soprattutto se i
controlli di accesso sono limitati alle sole combinazioni di nome utente e password. Questa situazione consente utilizzando un
attacco di tipo Brute Force l'ottenimento di credenziali, oppure, nel caso di sistemi non protetti, l'accesso sfruttando le vulnerabilità
note.
ENDPOINT AFFETTI
http://porfesr.regione.campania.it/admin/auth/login
DOCUMENTO CONFIDENZIALE
Questo documento contiene informazioni confidenziali, pertanto né il documento né le informazioni in esso contenute possono essere pubblicate, riprodotte, 6
copiate, divulgate o utilizzate per scopi diversi da quelli per cui sono stati forniti senza espressa autorizzazione.
DATA
PENETRATION TEST APPLICATIVO 2021-06-25
CYBER SECURITY PRACTICE
Il Clickjacking è una particolare tecnica di attacco che consiste nell'ingannare un Utente dell'applicazione a cliccare su qualcosa di
diverso da ciò che esso si aspetta, così rivelando, potenzialmente, informazioni confidenziali. Il Web Server non ha fornito nessun
Header X-Frame-Options nella risposta, rendendo così vulnerabile l'applicazione ad attacchi di Clickjacking. Le applicazioni Web
che fanno uso di questo Header hanno garanzia del fatto che il contenuto delle proprie pagine non sia incluso in altre applicazioni
Web.
ENDPOINT AFFETTI
http://porfesr.regione.campania.it
Durante la fase di analisi non è stata rilevata alcuna contromisura per prevenire attacchi di tipo Clickjacking. Nella figura sottostante
viene fornita evidenza della risposta del Web Server, in cui è assente l'integrazione dell'Header X-Frame-Options appropriato, atto
a prevenire attacchi di tipo Clickjacking:
DOCUMENTO CONFIDENZIALE
Questo documento contiene informazioni confidenziali, pertanto né il documento né le informazioni in esso contenute possono essere pubblicate, riprodotte, 7
copiate, divulgate o utilizzate per scopi diversi da quelli per cui sono stati forniti senza espressa autorizzazione.
DATA
PENETRATION TEST APPLICATIVO 2021-06-25
CYBER SECURITY PRACTICE
Di seguito, viene dimostrata la possibilità di includere l’applicazione all’interno di un iframe proveniente da risorse esterne al fine
di effettuare attacchi di tipo Clickjacking:
DOCUMENTO CONFIDENZIALE
Questo documento contiene informazioni confidenziali, pertanto né il documento né le informazioni in esso contenute possono essere pubblicate, riprodotte, 8
copiate, divulgate o utilizzate per scopi diversi da quelli per cui sono stati forniti senza espressa autorizzazione.
DATA
PENETRATION TEST APPLICATIVO 2021-06-25
CYBER SECURITY PRACTICE
I server web possono essere configurati in modo da elencare automaticamente i contenuti delle directory. Ciò può aiutare un
attaccante consentendogli di identificare rapidamente le risorse in un determinato percorso e di procedere direttamente all'analisi
e all'attacco di tali risorse. Ciò aumenta il rischio se la directory espone file sensibili all'interno che non sono destinati ad essere
accessibili agli utenti, come i file temporanei e i crash dump.
Le directory stesse non costituiscono necessariamente una vulnerabilità di sicurezza. Qualsiasi risorsa sensibile all'interno della
radice del web dovrebbe in ogni caso essere adeguatamente controllata nell'accesso e non dovrebbe essere accessibile da un
soggetto non autorizzato che per caso conosce o indovina l'URL. Anche quando gli elenchi di directory sono disabilitati, un
aggressore può indovinare la posizione dei file sensibili utilizzando strumenti automatizzati.
ENDPOINT AFFETTI
http://porfesr.regione.campania.it/assets/
http://porfesr.regione.campania.it/temp/
Durante le analisi dell'applicazione sono state rilevate risorse che elencano il contenuto delle directory del Web Server:
DOCUMENTO CONFIDENZIALE
Questo documento contiene informazioni confidenziali, pertanto né il documento né le informazioni in esso contenute possono essere pubblicate, riprodotte, 9
copiate, divulgate o utilizzate per scopi diversi da quelli per cui sono stati forniti senza espressa autorizzazione.
DATA
PENETRATION TEST APPLICATIVO 2021-06-25
CYBER SECURITY PRACTICE
DOCUMENTO CONFIDENZIALE
Questo documento contiene informazioni confidenziali, pertanto né il documento né le informazioni in esso contenute possono essere pubblicate, riprodotte, 10
copiate, divulgate o utilizzate per scopi diversi da quelli per cui sono stati forniti senza espressa autorizzazione.
DATA
PENETRATION TEST APPLICATIVO 2021-06-25
CYBER SECURITY PRACTICE
Modificando opportunamente alcuni campi delle richieste HTTP è possibile generare errori che mostrino informazioni utili; allo
stesso modo possono essere esposte risorse che mostrino informazioni senza necessità di eseguire azioni invasive.
ENDPOINT AFFETTI
http://porfesr.regione.campania.it/
http://porfesr.regione.campania.it/info
http://porfesr.regione.campania.it/grandiprogetti/index.php
Durante le analisi, è stato possibile, attraverso gli header di risposta ricavare la versione del WebServer e il linguaggio di
programmazione utilizzato, come da evidenza sottostante:
HTTP/1.1 200 OK
Date: Tue, 22 Jun 2021 14:02:34 GMT
Server: Apache/2.2.15 (CentOS)
X-Powered-By: PHP/5.3.3
Content-Type: text/html; charset=UTF-8
Connection: close
Content-Length: 16837
È presente una risorsa che mostra la configurazione del Web Server in uso:
DOCUMENTO CONFIDENZIALE
Questo documento contiene informazioni confidenziali, pertanto né il documento né le informazioni in esso contenute possono essere pubblicate, riprodotte, 11
copiate, divulgate o utilizzate per scopi diversi da quelli per cui sono stati forniti senza espressa autorizzazione.
DATA
PENETRATION TEST APPLICATIVO 2021-06-25
CYBER SECURITY PRACTICE
Visitando l'endpoint /grandiprogetti/index.php è possibile notare come una query SQL vada in errore,
Tabella "porfesr.attività" non esistente , rivelando informazioni applicative come ad esempio l'utilizzo di MySQL.
DOCUMENTO CONFIDENZIALE
Questo documento contiene informazioni confidenziali, pertanto né il documento né le informazioni in esso contenute possono essere pubblicate, riprodotte, 12
copiate, divulgate o utilizzate per scopi diversi da quelli per cui sono stati forniti senza espressa autorizzazione.
DATA
PENETRATION TEST APPLICATIVO 2021-06-25
CYBER SECURITY PRACTICE
3. RIMEDI
ENDPOINT AFFETTI
http://porfesr.regione.campania.it/grandiprogetti/index.php?f=dettaglio&id=<script>alert(document.domain)</script>
RIMEDI
Si consiglia di validare e sanitizzare gli input dell’utente da caratteri che agiscano sulla sintassi del DOM quali ‘”<>\/.
ENDPOINT AFFETTI
http://porfesr.regione.campania.it
RIMEDI
ENDPOINT AFFETTI
http://porfesr.regione.campania.it/admin/auth/login
RIMEDI
DOCUMENTO CONFIDENZIALE
Questo documento contiene informazioni confidenziali, pertanto né il documento né le informazioni in esso contenute possono essere pubblicate, riprodotte, 13
copiate, divulgate o utilizzate per scopi diversi da quelli per cui sono stati forniti senza espressa autorizzazione.
DATA
PENETRATION TEST APPLICATIVO 2021-06-25
CYBER SECURITY PRACTICE
http://porfesr.regione.campania.it
RIMEDI
Si consiglia di utilizzare l'Header X-Frame-Options per indicare al browser se gli è permesso mostrare pagine dentro dei frame o
iframe.
ENDPOINT AFFETTI
http://porfesr.regione.campania.it/assets/
http://porfesr.regione.campania.it/temp/
RIMEDI
Si consiglia di configurare il proprio server web in modo da impedire l'inserimento di elenchi di directory per tutti i percorsi sotto
la web-root.
Sono presenti risorse che espongono dettagli e informazioni applicative/infrastrutturali utili a un attaccante.
ENDPOINT AFFETTI
http://porfesr.regione.campania.it/
http://porfesr.regione.campania.it/info
http://porfesr.regione.campania.it/grandiprogetti/index.php
RIMEDI
Si consiglia di rimuovere tutte quelle risorse che espongono informazioni utili a un attaccante. In generale è buona prassi
eliminare ogni risorsa che non sia strettamente necessaria al corretto funzionamento della piattaforma.
DOCUMENTO CONFIDENZIALE
Questo documento contiene informazioni confidenziali, pertanto né il documento né le informazioni in esso contenute possono essere pubblicate, riprodotte, 14
copiate, divulgate o utilizzate per scopi diversi da quelli per cui sono stati forniti senza espressa autorizzazione.
CYBER SECURITY PRACTICE
Valutazione dell’impatto
L’impatto delle vulnerabilità riscontrate è stato attribuito sulla base del Common Vulnerability Scoring System (CVSS), uno
standard industriale per la valutazione dell’impatto sulla sicurezza di una vulnerabilità prendendo in considerazione il rischio,
l’esposizione dell’applicazione, difficoltà tecniche per lo sfruttamento, il contesto di business e altri fattori. Ogni società ha una
differente sensibilità al rischio di una vulnerabilità, quindi i valori di impatto segnalati devono essere presi più come line guida che
come valori assoluti.