La mia città è Rivoli, una decina di km da Torino, per altre infomrazioni consultate il sito del comune.
Qualche giorno fa finisco sul nuovo portale del comune http://www.comune.rivoli.to.it
Un bel sito dinamico asp che non passa la validazione XHTML per soli 1569 errori ma è soprattutto affetto dalle più comuni vulnerabilità web, dovute semplicemente al non utilizzo funzioni di filtro sull’input.
Ecco come si può rompere con facilità o un classico xss
Ma passiamo alla ricerca, io da buon ignorante ignoro l’orario di apertura dello sportello postale più vicino a casa mia.
Cerco nel sito la parola “posta”
Vi lascio commentare da soli il risultato… ho tagliato la pagina perchè i risultati sono un centinaio.
Inoltre non capisco cosa rappresenti questo codice commentato all’interno della pagina Pagamento dell’Ici on line.
select ordinamento,titolo,’interna.asp?idArea=’+CONVERT(varchar, idAreaPadre) +’&idNews=’+CONVERT(varchar, id) as indirizzo,abstract from news where idAreaPadre=136 and id not in (616) and inCestino=0 and opzioni=2 union select ordinamento,titolo,indirizzo,abstract from qlink where idAreaPadre=136 and inCestino=0 and opzioni=2 order by ordinamento desc, titolo
Capirei si trattasse di un sito in sviluppo, un po’ di debug può sempre aiutare. A proposito le pagine di pagamento sono una ottima occasione per tentare un operazione di phishing …
Cosa succede quando si clicca sul link per il pagamento? Non si entra ovviamente nel sito delle poste ma su un altro sito creato ad arte da qualche truffatore dell’est che nel giro di mezza giornata avrà già abusato dei dati che tu, utente pieno di fiducia verso un sito istituzionale, gli avrai passato. E la beffa ulteriore… è che l’ici non l’hai ancora pagata!!!
Il link a questa pagina è stato inviato al Responsabile Servizi Informatici del comune di Rivoli in modo che possa prendere i provvedimenti del caso, rispetto il lavoro altrui e non conosco gli sviluppatori, desidero solo che il sito istituzionale della città in cui vivo “funzioni”
Ormai sei avantissimo…
semplicemente…il mio smanettone preferito!!!! Mi inginocchio alla tua sapienza… Sei il meglio che c’e’.
Io volevo sapere solamente l’orario della posta senza dovermi leggere i menù kilometrici del sito :-/
Ottimo post, bravissimo!