Sito del Ministero della Salute mostra codice JSP in chiaro

pubblicato: lunedì 12 ottobre 2009 da Rosario

Cercando tutt’altro su Google per trovare un howto JSP, mi sono imbattuto poco fa in una versione particolare del sito del Ministero del Lavoro, della Salute e delle Politiche Sociali, normalmente raggiungibile all’indirizzo http://www.ministerosalute.it/.

Aprendo il link qui sopra non si nota nessun problema particolare, ma la ricerca che ho effettuato mi ha portato su http://www.ccm.ministerosalute.it/, una copia esatta del portale principale con un problema non da poco: il codice delle pagine .jsp viene mostrato in chiaro invece di essere interpretato dal server, praticamente come se fosse un normale file di testo .txt.

Dopo aver pensato a possibili falle di sicurezza e averne riscontrata subito una ho contattato il Ministero per far presente il problema: la risposta è stata che avrebbero girato la segnalazione al reparto tecnico. Staremo a vedere come andrà a finire.

(2 Voti | Media: 5 su 5)

12 commenti

Commenti dei lettori

(Inserisci un commento - Nascondi commenti anonimi)

greedyfox
12 ott 2009 - 17:30 - #1

0 punti

wow
qui si vede una query al db:
http://www.ccm.ministerosalute.it/balneazione/risultatoComune.jsp?CodCom=099013
andrea4381
12 ott 2009 - 17:47 - #2

0 punti

non avete capito.
E’ il ministero del lavoro, quindi insegnano come scrivere codice jsp..
IWriteAboutIT
12 ott 2009 - 17:50 - #3

1 punto

Qui potete contattare chi ha fatto il sito..
http://www.txtgroup.com/polymedia/it/index.shtml
ilmich
12 ott 2009 - 19:07 - #4

0 punti

Oddio.. esiste ancora gente che incastra codice java in una jsp… mamma mia…. bella c….ta!!!
acrive
12 ott 2009 - 19:37 - #5

0 punti

Non ci si può credere.. Query lunghissime in sql (Hibernate non lo conoscono?!? Possibile, con tutti gli awards che hanno…), Scriptlet… nomi variabili da primo corso di informatica… Non c’è niente da fare.. Gli agganci politici / clericali servono!!!
carlo0101
12 ott 2009 - 19:45 - #6

0 punti

@acrive

…guarda che non serve altro.
Spargher
12 ott 2009 - 20:54 - #7

0 punti

E che dire allora della costruzione pronta pronta per un’Sql Injection “TLI1COM.COD_COM_ISTAT= ” + request.getParameter(”CodCom”) + ” AND ” +
odino.ternaria
12 ott 2009 - 21:55 - #8

0 punti

pinduli loro comunque il buon senso di chi scova i problemi non abbonda mai!
:::: ghostNASA ::::
12 ott 2009 - 23:58 - #9

1 punto

è pensare che questo è il sito web del ministero che dovrebbe difenderci dai virus… :)
Anonimamente Anonimo
13 ott 2009 - 00:07 - #10

0 punti

Fra poco vedrete una bella pagina sostitutiva al posto dell’homepage
ilmich
13 ott 2009 - 10:07 - #11

0 punti

No… peggio… hanno attivato quella pagina:)
goemon
13 ott 2009 - 16:30 - #12

0 punti

che idioti, ancora va sul sito ufficiale la query…

http://www.ministerosalute.it/balneazione/risultatoComune.jsp?CodCom=099013 and 1=1

http://www.ministerosalute.it/balneazione/risultatoComune.jsp?CodCom=099013 and 1=0

Sapessi come si chiama la tabella….