già iscritto!!! Non vedo di seguirlo! Tutti i tuoi corsi mi stanno finalmente colmando lacune di era geologica!! Spero ne farai di nuovi, grazie infinite :)

Ciao, puoi suggerirmi un testo universitario che si occupa di ingegneria informatica ? Grazie.

facevo lo stesso con struts utilizzando urlclassloader facendogli caricare una classe che stava su un server mio pubblico... inoltre riuscivo a ridirezionare output direttamente nella finestra del browser usando il request dispatcher unica cosa tutto il codice iniettato nella url doveva essere url encoded ed ovviamente si potevano solo fare assegnamenti ed istanziare oggetti questa limitazione era imposta ovviamente dall'expression language assurdo che dopo anni che si parlava già di struts spring ed expression language injection log4j se ne esce con sta cosa ....

Mi ha sminc****o in database che stavo creamdo

Che poi bastano 2 funzioni per proteggersi dall' sql injection ... una per il testo e una per i numeri

Grazie!

Ciò che dici è verissimo...

Purtroppo Java è un linguaggio divorato da anni di boomerismo quindi scopriremo in futuro tantissime stronzate simili a questa in altre librerie. E' un triste destino, ma è ciò che ci attende

In realtà anche se usi framework frontend di ultima generazione, mai fare controlli solo lato pagina anche dei soli input utente. Se infatti comunichi con un backend tramite api, con un proxy (tipo burp) puoi intercettare e manipolare request e response..

Ciao, scusa la curiosità: che mestiere fai ora?

Faccio l’analista finanziario nel settore creditizio, tutta un’altra faccenda più in linea con i miei studi universitari ma l’informatica rimarrà sempre una delle mie passioni principali ma solo un hobby.

Un webserver per sua stessa natura comunica con l'esterno

@@WolfrostWasTaken deve rispondere alle richieste esterne sulla porta https (443) ma non gli deve essere consentito di instaurare connessioni verso servizi esterni; così facendo non sarebbe possibile per esempio instaurare connessioni verso LDAP o qualunque altro servizio. Questa è la base per un sistema sicuro.

Se è un'architettura a microservices i server comunicano eccome con l'esterno. Certo si poteva pensare di bloccargli le porte Ldap, se non sono note necessità di usare nessun server Ldap nella nuvola di servizi. La cosa assurda è che codice Java facente parte di una libreria di log si metta a deserializzare risposte di servizi potenzialmente non trusted e generi addirittura istanze di oggetti da mandare in esecuzione, questo è veramente assurdo...qui la colpa è dell'ecosistema Java, non tanto della configurazione di sicurezza della rete

@@androumeda9538 si un server o un servizio può instaurare una connessione verso altri servizi ma queste devono essere governate. Solitamente per default tutte le connessioni in uscita non sono consentite, sono aperte solo quelle necessarie. Per quanto riguarda l'ecosistema Java, quest'ultimo offre il cosiddetto Java Security Manager che in molti purtroppo non utilizzano, questo permette tra le altre di cose d'impedire l'esecuzione di codice "malevolo". Per esempio Elasticsearch è riuscito a mitigare questo problema proprio perché fa uso del Java Security Manager. In definitiva, quello che voglio dire e che le buone pratiche di sicurezza devono essere applicate su ogni fronte, questo senza dubbio aiuta a mitigare gli eventuali bug di questo genere.

@@androumeda9538 Sul fatto che Java sia un vero schifo sotto questo fronte siamo d'accordissimo, ma è comunque possibile creare un network interno anche tra più macchine usando una vpn, in modo tale da far comunicare microservizi sparsi su più macchine senza dover necessariamente "aprirsi" al mondo esterno. Questo non serve se fai girare tutti i microservizi sulla stessa macchina oppure li replichi tali e quali su tutte le macchine

In ogni caso, questa sarebbe al limite della classificazione di vulnerabilità. Il problema è qua una cattiva pratica di programmazione, ovvero quella di costruire i messaggi di log andando a concatenare delle stringhe (cosa inefficiente) al posto di utilizzare delle stringhe template supportate dalla libreria stessa. Non è molto diverso dalla SQL injection alla fine, dove se non usi i prepared statement ma costruisci le query come stringa rischi gli stessi problemi.

@@alerighi In tutti e due i casi abbiamo dovuto sopperire ad una pessima pratica di programmazione, perché alle volte certe funzioni andrebbero delegate ad altri servizi perché altrimenti si crea un buco di sicurezza grande come una casa. Anche SQL injection è molto semplice da fare, è quello il problema

Sono già più tranquillo, non sono un programmatore Java e pertanto capisco fino ad un certo punto come si possano scaricare classi eseguibili così, mi piacerebbe approfondire ma per il momento non ho tempo, ma i log li creo sempre e solo da messaggi di try/catch o al massimo da stringhe fisse pre-impostate.

Il punto del problema è il principio SOLID che in questo caso è stato apertamente violato, fra l'altro da una libreria open source che fa parte dell'ecosistema Java, che da sempre guarda dall'alto in basso le altre parrocchie con la spocchia di quelli che la sanno più lunga. Se una cosa del genere succedeva in Serilog o Microsoft.Common.Logging apriti cielo, il titolo Microsoft in borsa cadeva sotto zero...

Xournalpp

si infatti non volevo crederci quando ho letto la descrizione dettagliata del problema. Che minchia c'entra la CLI con una libreria di log? Se uno ha bisogno di loggare l'albero genealogico di suo cugino estraendolo da un servizio Ldap, perchè una libreria di logging dovrebbe fornirgli l'aiutino? Non si puo' fare con una libreria dedicata che fa solo Ldap e poi passa il risultato serializzato opportunamente alla Log4J o Log4Net o qualsiasi altro package di logging della minchia buffa?

@@androumeda9538 Evidentemente la pigrizia li ha portati ad implementare cose su altre cose senza rivedere la struttura dei componenti. Spesso nelle grandi società "Ha sempre funzionato" fa da padrone.

deformazione professionale :)

condivido tutto. E' una vulnerabilità così banale da capire anche per profani di sicurezza (come il sottoscritto) che non volevo crederci. Di solito per capire come funziona uno di questi giochini da hacker bisogna come minimo essere degli azzuri di assembler e compilatori vari con codice arbitrario eseguito da qualche oscuro chip della scheda grafica, e qui bastano due minuti scarsi di spiegazione banale per arrivare al punto. Grazie piccolo antico Java, e un grazie ancora più sentito alla tua spocchia ;-)

Credo Filologia germanica

@@giovannisardisco4541 sicuramente

@@Zkhere lauree ce ne sono molte in ambito informatico, e poi mi piacerebbe parlasse anche della sua tesi

@@giovannisardisco4541 ahahaha, grazie della risata

d'accordo con tutto tranne che con "mi chiedo se sia sensato usare una libreria esterna per gestire dei banali log", se l'unica cosa che ti serve è scrivere del testo in un file al fine di guardarci all'occorrenza "a occhio" ok... ma se hai bisogno di log formattati in un certo modo, uniformi tra più sistemi, che vengono raccolti e analizzati in automatico ecc ecc ecc, usare una libreria esterna, soprattutto se molto famosa e diffusa mi sembra una scelta sensata

@@wmacosx Io risolvo con pochi e semplici metodi statici che poi copio incollo da un progetto all'altro. Se non ci sono esigenze particolari...

@@DenisSoiMi così ogni volta che devi apportare una fix devi replicarla in tutti i progetti in cui hai copia-incollato quel codice... a patto che siano allineati sulle fix precedenti e che quel codice di quel determinato progetto non abbia subito variazioni tali da rendere più macchinosa (se non impossibile) l'applicazione della modifica, perché magari era più comoda una formattazione rispetto a quella iniziale o chissà che altro... Le librerie esistono proprio per ovviare a questo tipo di problemi e a molti altri, non perché la gente si sveglia la mattina e non sa che cosa fare... I framework e le librerie non sono pallottole d'argento come non lo è reinventare la ruota o, peggio ancora, inventarla di nuovo e copiarla a macchia d'olio apportando modifiche specifiche per il progetto di destinazione. Ci vuole buon senso, come in tutte le cose della vita.

@@iacopociao5232 Quello é il modo in cui ho risolto io il problema dei log. Altri potrebbero fare con una propria libreria. Il concetto che volevo esprimere é che ci sono cose molto banali per le quali scrivere poche righe di codice ha solo vantaggi.

Secondo me sottovaluti l'operazione di log. Fare logging non significa solo scrivere in stdout o in un file. Loggare un programma significa gestire una critical section/mutex, gestire richieste asincrone, gestire la rotazione dei log, gestire il timestamp su piu' piattaforme e tante altre cose che adesso non mi vengono in mente. D'accordo che Log4J ha esagerato con le funzionalita', ma non utilizzare affatto una libreria(dunque loggare tutto a mano) e' un'impresa assurda.

Ciao, sì nessun problema puoi usare PayPal 🙂

domanda fondamentale, invece. infatti la vulnerabilità in questione affligge solo le versioni dalla 2.0-beta9 alla 2.15.0.

@@silversurfer2017 grazie 1000. Dove è scritto tanto per chiudere il cerchio? Come diavolo han fatto a vederla solo ora? Sembra una vulnerabilità evidente...

vscode e la shell è zsh con ohmyzsh 👍🏻

Si, dei ricercatori nell'ambito della sicurezza, nel 2016 avevano segnalato la possibiltà di problemi... Sono stati ignorati evidentemente

Più al concetto del KISS.

Al tuo posto chiudevo il firewall e ci pensavo il giorno dopo :D

una certezza! :)

nonostante quanto accaduto rimane l'ambiente più sicuro

@@simonecelia5950 io sono del parere che l'ambiente più sicuro è quello che lo sviluppatore conosce meglio, a prescindere dal linguaggio.

@@simonecelia5950 guarda...se dici che è il più sicuro perchè tutte le banche lo usano per i loro portaloni, vabbè...diciamo che è solo più legacy e c'è più probabilità che le falle siano state scoperte. Ma cosa abbia Java di intrinseco che garantisca maggiore sicurezza, devo ancora capirlo. E non ditemi che è perchè c'è la Jvm, dai...