Mailing List del Fortunae LUG ============================= Ciao ragas, venerdì ho avuto la malaugurata idea di chiedere alla banca di attivarmi l'home banking che sapevo gratuito... infatti lo è ma non è quello il punto. Passando sopra che le password e il nome utente possono essere solo numerici (1° errore) e la pass non può essere + lunga di 5 caratteri (2° errore) sono andato sul sito della banca a vedere di fare il primo tentativo di login. Mi si apre una finestra in popup per farmi loggare... vado a vedere il codice della pagina suddetta e che mi ritrovo? Nome e versione del software usato per il web-banking con tanto di sito della software house barese che lo produce (3° errore) <cut> <!--- ************************************************* ---> <!--- * SIMPLYBANK Web - Servizio Internet Banking * ---> <!--- * Versione 1.0 * ---> <!--- * (c) 1997,2000 - Auriga Informatica S.r.l. * ---> <!--- ************************************************* ---> <!--- * Web : http://www.aurigainformatica.it * ---> <!--- * email: info@xxxxxxxxxxxxxxxxxxxx * ---> <!--- ************************************************* ---> </cut> Perdipiù nel codice c'era il path alla directory cgi dove risiedono i programmi (4° errore) perciò mi son fatto salvare la pagina da Explorer (1° mio errore: usare IE lo so lo so!!) che quando salva di mette nel codice anche l'url della pagina ho aggiunto il path della dir cgi con in file .exe (sperando di riuscire a scaricarlo) all'url della pagina e il server mi risponde così: <cut> Errore Rilevato un tentativo di accesso effettuato in maniera impropria. </cut> Vabbé dico ma allora un'idea ce l'hanno (2° mio errore) perché andando sul sito della suddetta software house scopro che il software può girare sui seguenti sistemi: <cut> Sistema Operativo: Application Server: OS 400,Windows NT, MP RAS System V, Sco Unix Web Application Server: Sistema Operativo Windows NT Server 4.0 con service pack 4 </cut> [voi adesso sospetterete che io abbia tagliato la dicitura "con service pack 4 o superiore" no belli... proprio no!! C'era scritto -purtroppo- solo con SP4] ma visto che il programma cgi è un .exe non può essere altro che WinNT quello scelto dalla mia banca per farcelo girare (5° errore) e perdipiù con il Service Pack 4... ma visto che su NT siamo arrivati al SP6 e contando il numero di bachi che ogni volta un SP M$ va a correggere direi che fra NT SP4 e SP6 ci saranno quel bel migliaio di bachi di cui certamente qualcuno moooltooo pericoloso! E Simon certamente potrà dirci se magari un cgi in .exe https://wbank.fmbcc.bcc.it/cgi-prod/sbweb.exe sia vulnerabile a un buffer overflow anche se la lunghezza dei campi della form usata per fare il login è fissato in max 16 char. E queste sono solo le info che ho potuto grabbare da semplici analisi del codice HTML in 5 minuti effettivi... immaginatevi quante belle info in + potrebbero essere rippate se uno ci si mettesse d'impegno! Magari arrivando a sostituire la pagina della form con una "troianizzata" che invia i dati dei login degli utenti a qualche email russa ;-) Il S.O lo sappiamo qual'è e addirittura credo di sapere anche qual'è il server usato visto che l'url della pagina iniziale della mia banca http://www.fano.bcc.it reindirizza a http://194.184.81.54/ciscraweb3/templweb.nsf provate a lasciare solo http://194.184.81.54/ e vedete un po dove vi porta: ma a una bella pagina di documentazione del server Lotus Domino ovviamente (6° errore) !!! :-) Ero quasi tentato di mirrorarla da quanta bella documentazione contiene! Al solito "you are as secure as your weakest link"... e qui mi pare che non ci siamo proprio! Che mi consigliate?? Disattivo il web-banking?? Ciao bestiacce, Lo -- "Una Slackware e' per sempre ..."