Tips & Tricks di sicurezza informatica
A quanto pare anche il nuovo sito Italia.it adotta misure di sicurezza inadeguate. Ecco uno screenshot:
(A causa di problemi avuti in precedenza non cito il link che mostra la vulnerabilità)
Il sito nuovo di zecca è soggetto ad una vulnerabilità Cross Site Scripting a causa di un superficiale controllo degli input dell'utente. Il filtro esiste ma i tag filtrati non sono sufficienti ad impedire la manipolazione di uno script javascript per sferrare un attachi XSS.
Prima lanciamo il sito, poi pensiamo alla sicurezza. Funziona così? Quando inizieranno a prendere sul serio la sicurezza informatica?
Mi verrebbe da dire LoL, tutto il portale è LoL. Poi quando penso a quanti dei nostri soldi hanno buttato nel cesso, mi incavolo come una biscia..
Per individuare queste vulnerabilità non ci vuole un attestato di specializzazione nell'arte dell'hacking. E' un comunissimo bug che ormai tutti dovrebbero conoscere, i programmatori pagati con fior di quattrini in primis.
Magari col doppio della cifra avrebbero fatto meglio :)
Grande Gianni..
pare che solo il logo sia costato 100.000euro!
mi rifiuto di commentare..essendo anche la mia azienda coinvolta in questo "fantomatico" portale....bleahh
beh... sai..
hanno voluto lanciarlo in fretta e furia...
facendo un sito in "solo" un anno, non hai tempo di controllare la sicurezza...
bah!
bella roba
45 milioni di euro buttati nel cesso.
Blogosfere è il più grande network italiano di blog professionali d'informazione.
Qui puoi trovare le ultime news su cronaca, politica, economia, cultura, scienze, tecnologia, spettacoli, moda, sport, motori, viaggi e cucina prodotte in perfetto stile multimediale.
Blogosfere Srl socio unico
P. IVA 05221970964
Sede legale: Via Pordenone 8 20132 Milano
REA n. 1804860
Privacy
Condizioni di utilizzo
Copyright © 2005-2012 Blogosfere
Quest'opera è pubblicata
con licenza Creative Commons
Attribution - Non commercial - No derivates
Per informazioni pubblicitarie e progetti speciali su Blogosfere (media brand del gruppo Populis) contattare la concessionaria pubblicitaria del gruppo, Populis Engage
alle 21:48
LordVal
Per chi non l'avesse visto, ecco un esempio di XSS: http://jhack.wordpress.com/2007/02/25/italiait-applicazione-pratica-di-xss/.
Bye,
LV