Comments on: Libero.it e XSS: pericolo credenziali!

By: Advisory: PLURIME vulnerabilit� su Infostrada.it Libero.it 0 LastKnight.com - Matteo Flora

Wed, 02 May 2007 20:28:32 +0000

[...] saga delle vulnerabilit� sul portale di Libero.it sembra destinata dopo il primo advisory di Rosario Valotta ed il mio advisory di ieri ad avere altri interessanti risvolti, come accennavo proprio nella [...]

By: Matteo G.P. Flora

Matteo G.P. Flora — Wed, 28 Mar 2007 09:32:16 +0000

@Antix

Ci andrei piano con i "falso allarme"...
ne parlo QUI

By: aNt1X

aNt1X — Wed, 28 Mar 2007 09:00:29 +0000

Falso allarme:

“Non � vero - spiega Libero a PI - che la stringa codificata in MD5 contenga la password. Se anche la stringa venisse decodificata, non si otterrebbe la password, n� altri strumenti utili per accedere in qualsiasi modo agli account”. Il che non deve sorprendere: la password pu� essere infatti ritoccata con strumenti ad hoc prima della cifratura vera e propria, rendendo quindi inutilizzabile l’eventuale dato decifrato. Per ricostruire dall’informazione decodificata la password vera e propria, spiega Libero, occorrerebbe avvalersi di strumenti proprietari predisposti dal portale e disponibili esclusivamente per i propri tecnici.

“Nel cookie - sottolinea Libero - c’� solo una mistura di dati che serve a noi per offrire il servizio”, e nessun’altra informazione utile.

By: Davide Denicolo

Davide Denicolo — Tue, 27 Mar 2007 11:45:59 +0000

Un problema simile ( XSS injection ) lo riscontrai tempo fa nella sezione “Speed Test”; la risoluzione fu quasi immediata, grazie probabilmente all’intervento di Punto Informatico: http://punto-informatico.it/p.aspx?id=1477632