Comments on: italia.it, la form dei sogni

By: iabadu » italia.it, XSS e bugs ignorati

iabadu » italia.it, XSS e bugs ignorati — Tue, 27 Feb 2007 08:07:26 +0000

[...] eccoci, dopo aver segnalato il 23 febbraio cosa succedeva agendo sui POST e GET del sito italia.it, si stanno moltiplicando le “applicazioni” di tale problema di XSS (Cross Site Scripting), qui un esempio tra i molti. [...]

By: dodo.. » Blog Archive » Italia.it, siamo al quarto giorno

dodo.. » Blog Archive » Italia.it, siamo al quarto giorno — Mon, 26 Feb 2007 18:24:44 +0000

[...] Mentre scriviamo risulta davvero banale inserire uno script in una pagina sul portalone, script che potrebbe facilmente ingannare gli utenti meno esperti (un esempio innocuo), come segnala Ramos tra gli altri. E Fabrizio T. in una mail a Punto Informatico aggiunge: “È incredibile la a dir poco approssimativa implementazione del tool di ricerca sul sito http://www.italia.it (…) che rende estremamente puerile eseguire code-injection”. “Qualcuno - sottolinea Fabrizio - potrebbe quindi facilmente tentare phishing o hijacking, inserire un’immagine a scelta presa dalla Rete, fare una redirezione via javascript o riscrivere via javascript l’intera pagina! A quando i primi gravi problemi?” [...]

By: ramos

ramos — Mon, 26 Feb 2007 12:53:53 +0000

@shima: grazie, l’esempio sul tuo sito è lampante.
Cosa penserebbe un utente standard che non si interessa di informatica vedendo questo sul portale?

By: shima

shima — Mon, 26 Feb 2007 09:23:05 +0000

A chi non funziona, provi a sostituire il valore del parametro “scope” passato sulla URI con:

“>alert(’YaBaDaBaDoOoO’);alert(’YaBaDaBaDoOoO’);alert(’YaBaDaBaDoOoO’);Come sono stati spesi i soldi?MaleMalissimo

By: Divario Digitale

Divario Digitale — Sun, 25 Feb 2007 11:06:33 +0000

Italia.it un Sito con uno Strano Rapporto Prezzo-Qualità

Italia.it è il portale istituzionale(tradotto: pagato da noi) del turismo italiano. Cosa vi aspettereste da un sito costato 45 milioni di euro a cui si sta lavorando da alcuni anni. Probabilmente il meglio per l’interattività, realtà virtua…

By: ramos

ramos — Sat, 24 Feb 2007 13:48:16 +0000

@Old Jacques: concordo. Purtroppo temo la leggerezza che aleggia in tutto questo progetto.
Di certo non mi sogno di trasformarmi in “fuorilegge” per testarlo … almeno quello lo testino loro, dato che di Betatesting ne abbiamo già fatto fin troppo.
E manco ci pagano ;D

By: Old Jacques

Old Jacques — Sat, 24 Feb 2007 12:55:29 +0000

Non ho idea di nessuno che abbia “provato” l’SQL injection, in quanto risultarebbe chiaramente un tentativo (illegale) di intrusione informatica, e non avrei nemmeno voglia testare per vedere se ci siano buchi o meno, in quanto a quel punto diventerei pure io hacker “fuorilegge”.

Vista la leggerezza con cui vengono trattati le differenze POST e GET, dalla mia umile esperienza passata, c’è buona probabilità che qualche buco potrebbe essistere anche lato SQL, o almeno essiste la possibilità che lo staff tecnico non abbia avuto l’accortezza di testare in maniera esaustiva eventuali input “non conformi”.
Esperto di sicurezza non sono, ma essendo stato “punto” un paio di volte negli anni da “vespe informatiche”, tendo temere sempre il peggio e cercare proteggere a priori da problemi.

By: ramos

ramos — Sat, 24 Feb 2007 09:45:54 +0000

@Old Jacques: grazie, è chiaro.
Sai se qualcuno ha fatto test su sql injection o se da quella parte per lo meno siamo sicuri?

Non sai come mi rodono gli amici esteri che mi pigliano per il c… a manetta…

By: Il portale Italia.it - Note tecniche » Diarium Neminis

Il portale Italia.it - Note tecniche » Diarium Neminis — Sat, 24 Feb 2007 09:20:31 +0000

[...] Non credevate mica fossero finiti i post su Italia.it? Eh già. Troppo semplice. Questo verte su alcune “note tecniche” del portale. Uno pensa: vabbè non è accessibile, vabbè il layout è antico come il cucco, vabbè usano Flash, ma è basato comunque su prodotti IBM, sarà solido, sicuro. Illusi. Grazie a ramos ho scoperto una cosa davvero simpatica per la sicurezza del portale. Provate ad andare in una form del portale, per esempio qui. Nel campo destinazione, invece di una classica località, inserite il seguente testo [...]

By: Old Jacques

Old Jacques — Sat, 24 Feb 2007 09:15:47 +0000

solo una prova per mostrare che non controllano tra variabili GET (che non dovrebbero c’entrare con la ricerca) e POST (usato dal FORM del sito), per cui si riesce “nascondere” abbastanza facilmente nell’URL già illegibile del suo un messaggio qualsiasi per fare divertire amici parenti e conoscenti…
Mandi un link all’amico e cliccandoci poppa su “Benvenuto Mario, ti stavo proprio aspettando…”. Le possibilità sono infinite.