Web Application FAIL @ Politecnico di Torino

November 12th, 2008 at 04:00pm dark

Cosa succede quando un’applicazione Web è scritta male? Oppure se viene su come un insieme di patch applicate sequenzialmente, da autori diversi, ad un prodotto scritto male?
Probabilmente viene su il Portale della Didattica del Politecnico di Torino.
Chiedete ad un qualsiasi utente del portale: frequenti downtime, misteriosi errori SQL:
Little Bobby Tables
(evviva l’escape ed il binding)
Per non parlare dell’assoluta inusabilità della sezione del materiale didattico. Ma, in fondo, non è grave. Basta che i nostri dati siano al sicuro. In effetti, se qualcuno volesse vedere, ad esempio, le fotografie degli studenti, dovrebbe essere innanzitutto autenticato, ma soprattutto autorizzato a vederle. Nella pratica, ogni studente è autorizzato a vedere solo la propria foto e quelle dei professori dei corsi che segue (anche se da un po’ di tempo questa funzionalità é broken).
Se volete convincervene, provate a sostituire a XXXXXX una qualsiasi matricola numerica >= 100000 :

http://didattica.polito.it/pls/portal30/sviluppo.foto_studente?p_matricola=XXXXXX

(gli iscritti al Poli possono provare anche ad autenticarsi, prima, e poi seguire il link sopra per la propria matricola)
Peccato che qualche genio deve aver avuto la pensata sbagliata e deve aver realizzato che, per la porzione di applicazione web che stava sviluppando, questa restrizione era troppo vincolante (già, portarsi in giro dei dati di sessione, o fare delle query SQL corrette, è troppo faticoso). Dunque, dalle pagine relative agli esami IELTS si raggiunge la propria foto mediante un indirizzo diverso:

http://didattica.polito.it/pls/portal30/sviluppo.maria_test?p_matricola=XXXXXX

Adesso la prova possono farla tutti. Sostituite XXXXXX con una matricola numerica di esattamente sei cifre (magari non troppo alta).
Buon divertimento.

(non sono io ad aver scoperto questa vulnerabilità, ma un amico, al cui sito fornirò il link se me ne darà il permesso)
(e, no, non avviserò proprio nessuno)

Entry Filed under: Free (as in freedom) thoughts,Images,Italian,Politically (in)correct

3 Comments Add your own

  • 1. Mat_Jack1  |  November 12th, 2008 at 16:13:33

    oh ma fatti i cazzi tuoi!!! Le mie foto!!! 😛

    grazie maria_test!!! LOL


  • 2. dark cave » Sandbox&hellip  |  January 27th, 2009 at 19:06:23

    […] punto a sfavore del sistema informatico del Poli (questa volta la parte hardware, ma si somma alla precedente figuraccia); un punto, invece, guadagnato dagli infaticabili smanettoni di Ingegneria […]


  • 3. Dalma  |  July 28th, 2009 at 13:09:16

    mmmm mi sa che ora funga, il link non ti porta più da nessuna parte… Dai, nemmeno un anno ci sono messi!!!


Leave a Comment

Required

Required, hidden

Some HTML allowed:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Trackback this post  |  Subscribe to the comments via RSS Feed


Rate:  

Calendar

November 2008
M T W T F S S
« Oct   Dec »
 12
3456789
10111213141516
17181920212223
24252627282930

Badges

Most Recent Posts

What's played in the cave