italia.it, la form dei sogni
VPXL Generic
Buy Ultram Online
Penisole Without Prescription
Cialis Soft Tabs No Prescription
Erythromycin For Sale
Nexium Generic
Buy Prevacid Online
Aldactone Without Prescription
Glucotrol No Prescription
Topamax For Sale
Bene, entrate (se ci riuscite in tempi brevi) nella schermata principale del portale dopo aver saltato i due flash (!) e scelto la lingua (!!), prendete la prima form che vi capita , per esempio DOVE DORMIRE, nel campo DESTINAZIONE inserite il presente codice:
“<script>alert(’ciao bello’);</script>”
premete ricerca et voilà , un bell’alert javascript vi poppa davanti.
PERFETTO! a voi le sfaccettature
PS forse di soldi ne chiederò di piu’ indietro ;DD
February 23rd, 2007 at 4:35 pm
Interessante, ma…con che browser hai provato?
Io Safari (on Mac) e Firefox (on Linux), e non ottengo quel comportamento.
February 23rd, 2007 at 4:48 pm
FIREFOX su windows, con gli altri non ho provato.
che stringa metti dentro?
adesso non ho tempo di riprovare, ma sicuramente ci stanno lavorando di brutto dato che molte cose sono cambiate da ieri a oggi. Magari hanno parsato. Dopo riprovo. ciao
UPDATE:
in effetti non si riproduce più l’errore. Stanno correggendo. Filtrano le query.
Meno male che ci siamo noi a fare il BETATESTING!!
riciao
February 23rd, 2007 at 11:59 pm
Che tristezza, mettere un sito online senza un minimo di testing.
E poi che schifezza di CMS è che non applica filtri ai dati in POST da solo? E’ orripilante tutto ciò.
February 24th, 2007 at 12:41 am
Non vorrei dire, ma anche le GET sono apertissimi. E il problema dei ‘ si agira usando “.
Provate:
http://www.italia.it/it/scout/accs/5,it,SCH1,2035/season,at1,selectedEntry,home/result.html;jsessionid=0a964fcb30d60e648945be594277a2ec8ce0dfcb1fe8.e38Mb3mQb3qMc40LbhaLbxeNahiQe6fznA5Pp7ftolbGmkTy?ref=5&jse=1&sbe=0&rls_chd=false&clk=http%3A%2F%2Fwww.italia.it%2Fit%2Fguide%2F5%2Cit%2CSCH1%2FobjectId%2CRGN8it%2Cseason%2Cat1%2CselectedEntry%2Chome%2Fhome.html&r=RGN8it&startRegion=&rlsq=%3Cscript%3Ealert%28%22Siamo+noi+che+controlliamo+il+tuo+computer+ormai!\nPentite+e+sarete+perdonate!%22%29%3B%3C%2Fscript%3E&ac=&an=&accsearch.x=14&accsearch.y=8&accsearch=accsearch
Non ho nemmeno voglia sperimentare col SQL injection… non sembra nemmeno divertente.
February 24th, 2007 at 12:54 am
basta sostituire l’apice singolo con le virgolette doppie.
roba da matti!
http://www.italia.it/it/scout/accs/5,it,SCH1,2035/season,at1,selectedEntry,home/result.html;?ref=5&jse=1&sbe=0&rls_chd=false&clk=http%3A%2F%2Fwww.italia.it%2Fit%2Fguide%2F5%2Cit%2CSCH1%2FobjectId%2CRGN8it%2Cseason%2Cat1%2CselectedEntry%2Chome%2Fhome.html&r=RGN8it&startRegion=&rlsq=%3Cscript%3Ealert%28%22Chi+parla+male+del+nostro+sito+verr +punito!\nNoi+possiamo+sapere+chi+sei!\nIndirizzo+ip+registrato+e+archiviato.%22%29%3B%3C%2Fscript%3E&ac=&an=&accsearch.x=14&accsearch.y=8&accsearch=accsearch
non viene nemmeno la sfida di provare con SQL injection.
February 24th, 2007 at 1:28 am
Hai ragione, se metti “ciao bello” al posto di ‘ciao bello’ dentro lo script il popup esce ancora alla grande.
he he poveracci quei quattro gatti che ci staranno lavorando giorno e notte, magari sottopagati…(forse senza magari)
PS ma quello che hai messo nel link allegato è una minaccia o era il tuo test?
“Chi+parla+male+del+nostro+sito+verrà +punito!\nNoi+possiamo+sapere+chi+sei!\nIndirizzo+ip+registrato+e+archiviato”
Nel caso di minacce non c’è nulla da nascondere, con tutto quello che si dice in giro in questi due gg!!
maddai
February 24th, 2007 at 10:15 am
solo una prova per mostrare che non controllano tra variabili GET (che non dovrebbero c’entrare con la ricerca) e POST (usato dal FORM del sito), per cui si riesce “nascondere” abbastanza facilmente nell’URL già illegibile del suo un messaggio qualsiasi per fare divertire amici parenti e conoscenti…
Mandi un link all’amico e cliccandoci poppa su “Benvenuto Mario, ti stavo proprio aspettando…”. Le possibilità sono infinite.
February 24th, 2007 at 10:20 am
[...] Non credevate mica fossero finiti i post su Italia.it? Eh già . Troppo semplice. Questo verte su alcune “note tecniche” del portale. Uno pensa: vabbè non è accessibile, vabbè il layout è antico come il cucco, vabbè usano Flash, ma è basato comunque su prodotti IBM, sarà solido, sicuro. Illusi. Grazie a ramos ho scoperto una cosa davvero simpatica per la sicurezza del portale. Provate ad andare in una form del portale, per esempio qui. Nel campo destinazione, invece di una classica località , inserite il seguente testo [...]
February 24th, 2007 at 10:45 am
@Old Jacques: grazie, è chiaro.
Sai se qualcuno ha fatto test su sql injection o se da quella parte per lo meno siamo sicuri?
Non sai come mi rodono gli amici esteri che mi pigliano per il c… a manetta…
February 24th, 2007 at 1:55 pm
Non ho idea di nessuno che abbia “provato” l’SQL injection, in quanto risultarebbe chiaramente un tentativo (illegale) di intrusione informatica, e non avrei nemmeno voglia testare per vedere se ci siano buchi o meno, in quanto a quel punto diventerei pure io hacker “fuorilegge”.
Vista la leggerezza con cui vengono trattati le differenze POST e GET, dalla mia umile esperienza passata, c’è buona probabilità che qualche buco potrebbe essistere anche lato SQL, o almeno essiste la possibilità che lo staff tecnico non abbia avuto l’accortezza di testare in maniera esaustiva eventuali input “non conformi”.
Esperto di sicurezza non sono, ma essendo stato “punto” un paio di volte negli anni da “vespe informatiche”, tendo temere sempre il peggio e cercare proteggere a priori da problemi.
February 24th, 2007 at 2:48 pm
@Old Jacques: concordo. Purtroppo temo la leggerezza che aleggia in tutto questo progetto.
Di certo non mi sogno di trasformarmi in “fuorilegge” per testarlo … almeno quello lo testino loro, dato che di Betatesting ne abbiamo già fatto fin troppo.
E manco ci pagano ;D
February 25th, 2007 at 12:06 pm
Italia.it un Sito con uno Strano Rapporto Prezzo-QualitÃ
Italia.it è il portale istituzionale(tradotto: pagato da noi) del turismo italiano. Cosa vi aspettereste da un sito costato 45 milioni di euro a cui si sta lavorando da alcuni anni. Probabilmente il meglio per l’interattività , realtà virtua…
February 26th, 2007 at 10:23 am
A chi non funziona, provi a sostituire il valore del parametro “scope” passato sulla URI con:
“>alert(’YaBaDaBaDoOoO’);alert(’YaBaDaBaDoOoO’);alert(’YaBaDaBaDoOoO’);Come sono stati spesi i soldi?MaleMalissimo
February 26th, 2007 at 1:53 pm
@shima: grazie, l’esempio sul tuo sito è lampante.
Cosa penserebbe un utente standard che non si interessa di informatica vedendo questo sul portale?
February 26th, 2007 at 7:24 pm
[...] Mentre scriviamo risulta davvero banale inserire uno script in una pagina sul portalone, script che potrebbe facilmente ingannare gli utenti meno esperti (un esempio innocuo), come segnala Ramos tra gli altri. E Fabrizio T. in una mail a Punto Informatico aggiunge: “È incredibile la a dir poco approssimativa implementazione del tool di ricerca sul sito http://www.italia.it (…) che rende estremamente puerile eseguire code-injection”. “Qualcuno - sottolinea Fabrizio - potrebbe quindi facilmente tentare phishing o hijacking, inserire un’immagine a scelta presa dalla Rete, fare una redirezione via javascript o riscrivere via javascript l’intera pagina! A quando i primi gravi problemi?” [...]
February 27th, 2007 at 9:07 am
[...] eccoci, dopo aver segnalato il 23 febbraio cosa succedeva agendo sui POST e GET del sito italia.it, si stanno moltiplicando le “applicazioni” di tale problema di XSS (Cross Site Scripting), qui un esempio tra i molti. [...]