Negli ultimi anni, complici la Rete e la diffusione di scripts precompilati, è
diventato difficile trovare un sito web privo di un contatore di visite o di un
rilevatore di statistiche; si pensi a Google Analytics e ShinyStat, divenuti un
punto riferimento per moltissimi webmaster desiderosi di acquisire più
informazioni possibili su chi visita il proprio sito.
Come molti lettori che hanno un sito web sapranno, quando un visitatore entra in
un portale, il contatore o il software dedicato alle statistiche raccolgono tra
i vari dati anche quello relativo al sito web di provenienza dell'utente (tramite un "parametro",
'HTTP_REFERER', inviato dal
browser al server del sito web). Salvo che un
software o le impostazioni di navigazione dell'utente non lo escludano, è
possibile, quindi, capire da quale sito web o motore di ricerca proviene
l'utente.
I pannelli di amministrazione dei vari software che conteggiano le visite,
nell'elencare i vari URL di provenienza dei visitatori offrono spesso anche la
possibilità di cliccarci sopra (v. immagine a seguire tratta da
Histats in cui i vari
"Referer" sono collegamenti ipertestuali colorati di blu ):
un'opzione che, se da un lato appare utile per il webmaster o il titolare del
sito visitato al fine di meglio comprendere in che modo e da chi è stato linkato
il proprio sito in Rete, dall'altro li espone ad un
rischio non
sottovalutabile e di cui noi di intertraders ci siamo resi conto di
recente.
Qualora, infatti, un ignaro webmaster decidesse di "cliccare" su uno degli
indirizzi/referer elencati nel pannello visualizzerebbe sì il sito web di
provenienza del visitatore, ma trasmetterebbe al contempo al webmaster di
quest'ultimo -mediante sempre HTTP_REFERER- il proprio indirizzo di provenienza,
indirizzo che,
paradossale ma reale, è quello del pannello di
amministrazione del software di statistiche!
Sulla base di quanto appena visto un webmaster che "scopre" il link al
pannello di amministrazione del contatore di un altro sito può visitarsi e
studiarsi -ad insaputa di chi lo gestisce- attentamente i dati e le statistiche
di quest'ultimo bypassando in molti casi persino l'autenticazione di accesso
basata su username e password.
Abbiamo individuato questa vulnerabilità in diversi prodotti in circolazione, e
in alcuni casi, proprio a seguito di URL rinvenuti tra le righe del contatore di
intertraders.eu, siamo riusciti a visionare pannelli di amministrazione di
alcuni siti Internet più o meno noti.
In almeno due casi, tuttavia, si è trattato di siti di e-commerce famosi, che
non riveliamo, ma di cui abbiamo linkato in passato l'indirizzo nelle nostre
news. Evidentemente gli incauti webmasters hanno commesso l'errore di cui sopra,
trasmettendo il percorso completo del loro pannello di amministrazione, oltre
che a noi,
a una mole indefinita di altri siti web...
(nell'immagine a seguire è riportato il pannello di amministrazione di
uno di questi siti da noi individuato e visitato ad insaputa del webmaster; per
tutelarne l'anonimato i dati riportati nella schermata ed i vari URL che puntano
al portale sono stati volutamente da noi oscurati):
Ma come è possibile tutto ciò?
Il motivo alla base della falla (in alcuni casi è più opportuno parlare di
leggerezza) risiede nell'indirizzo Internet del pannello stesso che il più delle
volte contiene il
SID o una serie di variabili passate in
GET, spesso gestiti, filtrati e configurati in maniera non
ottimale da chi ha realizzato il contatore o il software di statistiche; valori
che, se resi noti inconsapevolmente ad estranei (è il caso appena visto di
referer trasmesso senza volerlo), permettono a chiunque di accedere alle
statistiche del sito bacato (v.immagine a seguire in cui tra i link di
provenienza dei visitatori vi è l'indirizzo del pannello di amministrazione del
contatore di un altro sito).
Sulla base di quanto abbiamo avuto modo di appurare, uno dei pochi software di
rilevazione delle statistiche che sfuggirebbe al bug in oggetto sarebbe Google
Analitycs. La presenza del bug, diversamente, sarebbe attualmente presente in
Histats, RiteCounter, Advanced Web Statistics 6 e ASP Stats Generator; pochi
nomi certo, ma i soli che fino ad ora abbiamo casualmente individuato dal
pannello dei nostri contatori di visite.
Quanto visto, pertanto, se può rappresentare una vulnerabilità non grave per chi
rende le proprie statistiche accessibili al pubblico, è, diversamente,
una vera e propria spada di Damocle per chi ha un'attività commerciale
o di un certo rilievo e vuole mantenere riserbo sul numero di visitatori
giornalieri.
Si pensi ad es. ad un sito di e-commerce: in questo caso il danno sarebbe
elevato qualora l'indirizzo del pannello finisse nelle mani sbagliate e la
directory ove questo è installato non fosse protetta (soluzione quest'ultima
comunque non percorribile con contatori che risiedono su server esterni come
Histats e RiteCounter); eventuali concorrenti potrebbero monitorare l'attività
del sito, capire quali pagine di prodotti sono più visitate di altre e farne
tesoro per la propria attività. Anche un cracker potrebbe acquisire informazioni
più dettagliate sulla struttura stessa del sito e della macchina su cui è
ospitato senza contare, come abbiamo constatato in alcuni casi, la possibilità
di
modificare o cancellare le impostazioni dello stesso
contatore!
L'unico consiglio che desideriamo fornire a chi ha incautamente commesso la
leggerezza di cui sopra, ossia aver erroneamente "cliccato" su un indirizzo
esterno dal pannello di amministrazione del contatore installato sul proprio
sito, è di proteggerne l'accesso alla directory o, nel caso di contatori
esterni, resettarne il relativo account ed aprirne uno nuovo, facendo più
attenzione in futuro.
Redazione InterTraders
Ultimi commenti
da enrico in PayPal meglio di Postepay? Le due prepagate a confronto....
I più letti
Affari pericolosi: asciugacapelli Philips, batteri...