Advisory: PLURIME vulnerabilità su Infostrada.it Libero.it

29 Mar Advisory, Hacking e Security

La saga delle vulnerabilità sul portale di Libero.it sembra destinata dopo il primo advisory di Rosario Valotta ed il mio advisory di ieri ad avere altri interessanti risvolti, come accennavo proprio nella giornata di ieri.

Libero.it sembra infatti aver adottato la politica del “fixing silenzioso” senza contattare gli autori, anche se per più volte avevo esortato il management del noto portale a contattare i singoli ricercatori.
Non ottenendo alcun tipo di contatto ed essendo quindi impossibilitati a risolvere la questione con i gestori dei siti incriminati siamo quindi obbligati ad utilizzare il meccanismo della Full-Disclosure per poter comunicare le differenti problematiche rilevate.

E così questa volta è ora di un Advisory congiunto mio, di Rosario Valotta e di Matteo Carli che si è aggiunto all’allegra combricola con una serie di problematiche.
L’Advisory, inviato sulla nota lista Full-Disclosure contiene istanze multiple di problematiche XSS ma anche interessanti risvolti su SQL Injection.

Esaminiamo le singole vulnerabilità una ad una, lasciando al documento la spiegazione precisa:

  1. XSS redirector: Mediante un opportuna pagina configurata è possibile redirigere l’utente ad una pagina arbitraria e carpire al contempo il nome utente. In questo modo i tentativi di Phishing sono di sicuro impatto poiché possono facilmente contenere anche la credenziale di username della persona. (Rosario)
  2. XSS Redirector: Come sopra ma con script arbitrari eseguiti direttamente da una URL. Ancora più semplice da utilizzare in modo fraudolento. (LK)
  3. SQL Validation: Errore di Open Query che conduce agevolmente a SQL Injection. Per ovvi problemi legali non è stata approfondita la ricerca ma provate a pensare a che tipo di dati contiene un DB come quello Oracle di Infostrada…
    Inoltre l’errore mostrato rivela importanti informazioni sul sistema dietro cui il portale gira. (LK)
  4. CSSXSS su pagina HTTPS: Pericolosa variazione dei temi 1 e 2 che consente di iniettare codice XSS direttamente in una pagina HTTPS, sfruttando quindi l’effetto di “sicurezza” che una pagina protetta da in un utente. (Matteo Carli)

Personalmente attendo con ansia di sapere se potrò comunicare i prossimi problemi rilevati a qualcuno che può gestire il portale o se mi vedrò costretto ancora una volta a pubblicare un Full-Disclosure per mancanza di comunicazione

Che tristezza il panorama italiano!

E pensare che un omologo problema rilevato ieri sul portale del 190 ha subito portato al contatto con uno dei Responsabili della Sicurezza e ad una immediata notifica della presa in carico del problema segnalato…
Forse per qualche vendor c’è ancora speranza…


Post Simili
post<li>
« Altra Vulnerabilità XSS su Libero.it
Papà, tu dov’eri quando ci hanno portato via Internet? »

6 commenti presenti.

  1. Tentacolo Viola
    29 Mar 07
    6:26 pm

    Libero continua a rimediare ai bug con il solito approccio da “cantinaro”…
    La prima vulnerabilità è stata patchata (la solita toppa messa in fretta…ed in silenzio).
    Non mi pare una strada vincente da percorrere…

  2. Tentacolo Viola
    29 Mar 07
    6:36 pm

    Vi segnalo che il bug “magistralmente” corretto da Libero è riemerso sotto altra forma:
    http://blog.libero.it/XSS/login.php?rest=1&from=http://www.myevilsite.com

    il problema è che il parsing delle URL deve essere un “modus operandi”…correggere la pagina di appoggio del redirect non fixa il bug…

  3. Antonio
    29 Mar 07
    6:53 pm

    Solo un paio di considerazioni stringate:

    • e’ risaputo che nel panorama web nostrano la security è spesso tenuta in scarsa considerazione: senza scomodare attacchi di injection vari, vogliamo ricordare che buona parte delle autenticazioni (ad es. web mail) sono in chiaro? … non che l’SSL sia la panacea di tutti i mali, tuttavia non credo che il costo di qualche certificato x.509 per i server sia proibitivo per un colosso come wind.

    • Evidentemente a libero.it sono poco inclini alla gratitudine e credono più alla security through obfuscation ;)

  4. sp0nge
    29 Mar 07
    11:47 pm

    Ciao Matteo e ciao a tutti… bhé che dire… ahimé quando vai a parlare di security senti le peggio cose… non sapete che difficoltà poi si incontra quando spieghi alla gente che è opportuno rivedere il codice applicativo prima del deploy…

    :(

    Amari saluti a tutti
    sp0nge

  5. Cypher Security » [libero infostrada] Nuove vulnerabilità (xss)
    04 Apr 07
    10:47 am

    [...] libero a “tappare” alcune delle falle più evidenti da loro segnalate. Personalmente (e non sono il solo) mi sento di criticare profondamente il comportamento adottato dal managment di libero ed [...]

  6. luc
    22 Apr 07
    4:03 pm

    A mio parere divulgare pubblicamente le falle senza prima dare tempo a Libero di correggerlo è peggio

Scritto da Matteo G.P. Flora.
29 March 2007 alle 3:38 pm
6 commenti
Advisory, Hacking e Security
comments feed.

Esperto di Sicurezza sembra pretenzioso... Uffa! Diciamo allora piccolo blog di intrattenimento di Matteo G.P. Flora (aka LK) sperduto passeggero della rete, poeta, (poco) santo, e navigatore... E se proprio siete curiosi...