Aggiornamento: Una serie di riflessioni sulle dichiarazioni di Libero in merito al bug sono raccolte QUI
Che di italiani in gamba nel panorama mondiale della web security ce ne fossero molti non è sicuramente una novità (basti pensare alla Owasp Testing Guide e a profili come Alberto Revelli, Giorgio Fedon, Stefano Di Paola, Matteo Meucci…) ma leggere comunque su Full-Disclosure una segnalazione di XSS su un portale italiano fa comunque impressione…
Questa volta l’artefice della scoperta è l’italianissimo Rosario Valotta che in poche righe delinea nel suo report uno scenario che è il sogno del phisher di tutto il mondo. In tre semplici passi abbiamo la possibilità di rubare le credenziali di qualunque utente della Community di Libero:
- Fase 1: la app incriminata Con un semplice link come http://digiland.libero.it/profilo.phtml?nick=mickey è possibile accedere alla applicazione che consente il managing dei nick della community.
- Fase 2: grabbing del cookie
Un semplicissimo XSS iniettato nel codice consente ad eventuali utenti malicious di recuperare il cookie associato all’utente loggato: un esempio pratico è questo da usare con IE. - Fase 3: oltre il danno la beffa
Oltre al vistoso errore di programmazione che determina la presenza di un XSS abbiamo presenti nel cookie entrambe le credenziali: lo username in chiaro e le password in MD5. Considerando che la maggior parte delle password sono di una lunghezza inferiore ai 6 caratteri la loro decifrazione appare alla luce di approcci MD5-rainbowtable un effort decisamente basso.
Oltre a questo è possibile inviare remotamente il cookie con un paio di altri giochi di prestigio segnalati nel post di Rosario su FD.
Staremo a vedere i tempi di risposta per la correzione di questo bug potenzialmente critico per una community numerosa come quella di Libero.it.
Post Simili
»Ancora su Libero.it
»Altra Vulnerabilità XSS su Libero.it
»Advisory: PLURIME vulnerabilità su Infostrada.it Libero.it
»Quando firefox diventa pericoloso…
»Il pericolo del file-sharing la fuga di informazioni riservate
»(in)sicurezza/ La politica dell’ignoranza
»Forse ci lasciano fare il nostro lavoro: 615 e Sicurezza Informatica
»(in)sicurezza: Che fine hanno fatto i Virus?
Esperto di Sicurezza sembra pretenzioso... Uffa! Diciamo allora piccolo blog di intrattenimento di Matteo G.P. Flora (aka LK) sperduto passeggero della rete, poeta, (poco) santo, e navigatore... E se proprio siete 
27 Mar 07
1:45 pm
Un problema simile ( XSS injection ) lo riscontrai tempo fa nella sezione “Speed Test”; la risoluzione fu quasi immediata, grazie probabilmente all’intervento di Punto Informatico: http://punto-informatico.it/p.aspx?id=1477632
28 Mar 07
11:00 am
Falso allarme:
“Non è vero - spiega Libero a PI - che la stringa codificata in MD5 contenga la password. Se anche la stringa venisse decodificata, non si otterrebbe la password, né altri strumenti utili per accedere in qualsiasi modo agli account”. Il che non deve sorprendere: la password può essere infatti ritoccata con strumenti ad hoc prima della cifratura vera e propria, rendendo quindi inutilizzabile l’eventuale dato decifrato. Per ricostruire dall’informazione decodificata la password vera e propria, spiega Libero, occorrerebbe avvalersi di strumenti proprietari predisposti dal portale e disponibili esclusivamente per i propri tecnici.
“Nel cookie - sottolinea Libero - c’è solo una mistura di dati che serve a noi per offrire il servizio”, e nessun’altra informazione utile.
28 Mar 07
11:32 am
@Antix
Ci andrei piano con i “falso allarme”…
ne parlo QUI
02 May 07
10:28 pm
[...] saga delle vulnerabilità sul portale di Libero.it sembra destinata dopo il primo advisory di Rosario Valotta ed il mio advisory di ieri ad avere altri interessanti risvolti, come accennavo proprio nella [...]