Varie vulnerablità su libero.it e infostrada.it

Tre giorni fa Rosario Valotta ha segnalato una vulnerabilità XSS (Cross-Site Scripting) su uno dei portali più importanti d’Italia: libero.it. Niente di strano se non fosse per la risposta data dallo staff di Libero su Punto Informatico il giorno successivo alla pubblicazione.
Ne riporto una piccola parte:

Se anche la stringa venisse decodificata, non si otterrebbe la password, né altri strumenti utili per accedere in qualsiasi modo agli account.
[...]
Libero ha anche sottolineato di ritenere utile e preziosa l’informazione offerta dai bug hunter e sembra intenzionata a rispondere allo stesso Vallotta direttamente su BugTraq.

Parole che fanno riflettere molto. Soprattutto mi aspettavo una risposta dal team di sviluppo interno, anche per indicare verso chi segnalare eventuali nuovi bug. visto che l’unico contatto ufficiale al momento è il call-center.

Ieri, Matteo Flora, nella pubblicazione di un bug XSS, scoperto da lui, all’interno del dominio libero.it aveva provato a rinnovare l’invito al team di sviluppo di una “collaborazione”, ma visto che ad oggi la soluzione da loro applicata è quella del “fixing silenzioso” abbiamo deciso di pubblicare insieme un advisory cumulativa degli ultimi bug trovati sui portali del gestore arancione.

I bug segnalati nel documento, dove sono spiegati più in dettaglio, sono 4:

  • Nella pagina per la gestione degli errori nella parte amministrativa dei blog della piattaforma libero.it la variabile contenente l’errore non è validata.

    blog.libero.it/XSS/aux_messaggio.php?msg=%3Cscript%3Ealert(%22a%22)%3C/script%3

    Crediti: Rosario Liotta

  • Nella pagina di registrazione ad infostrada.it la variabile contenente il numero di telefono non è validata.

    www.infostrada.it/pls/portal30/inorder_155.pkg_pronto1055.show_page1?pref=02&tel=%3Cscript%3Ealert(%22a%22)%3C/script%3E&offer=HI

    Crediti: Matteo Flora

  • Nella pagina del dettaglio delle offerte su infostrada.it e 155.libero.it la variabile che identifica ogni singola offorta non è validata e porta ad una SQL Injection e all’information leakage.

    http://www.infostrada.it/pls/portal30/infostrada.offerta.dettaglio?vid=%3E

    http://155.libero.it/pls/portal30/w155.page_offerta.libero?tipo=%3E

    Crediti: Matteo Flora

  • Nella pagina, su HTTPS, che fa da gateway per l’autenticazione su 155.libero.it la variabile che contiene la password inserita non è validata.

    155.libero.it/pls/portal30/w155.pkg_authentication.Login_url?p_requested_url=/pls/portal30/w155.home&site2pstoretoken=&ssousername=anyrandomuser&password=%22%3E%20script%3Ealert%28%27XSS%21%27%29%3B%3C/script%3E%3Cbr%20style%3D%22

    Crediti: Matteo Carli

In Italia gli XSS vengono considerati ancora come vulnerabilità di secondo piano, ma da quanto dimostrato l’user-input è un dato da validare e tenere sempre sotto controllo.
Non consiglio di prendere alla leggera gli XSS; MySpace ha problemi di questo tipo da tempo ed è previsto che ve ne siano ancora molti non pubblicati: Aprile sarà il Month of MySpace Bug.

 

4 Commenti a 'Varie vulnerablità su libero.it e infostrada.it'

Segui i commenti sottoscrivendo il feed RSS oppure TrackBack a 'Varie vulnerablità su libero.it e infostrada.it'.

  1. minchia, ora anche su full disclosure! :-) complimenti!

  2. ah, tra l’altro carina la nuova grafica, magari potresti schiarire quel nero darkettone, punkettaro, piratone…. :-)

  3. Grazie!

    Penso di pubblicare un post appositamente per pareri e consigli sulla nuova grafica ;-)

  4. gla

    Non so se avete visto che http://155.libero.it è down con l’errore

    Call to WPG_SESSION API Failed.

    Error-Code:20000
    Error TimeStamp:Wed, 6 Aug 2008 13:14:48 GMT
    Database Log In Failed

    TNS is unable to connect to destination. Invalid TNS address supplied or destination is not listening. This error can also occur because of underlying network transport problems.

    Verify that the TNS name in the connectstring entry of the DAD for this URL is valid and the database listener is running.

    E’ da ieri che è down… mah!

:: Trackbacks/Pingbacks ::

Nessun Trackbacks/Pingbacks

Lascia un Commento