Tips & Tricks di sicurezza informatica
La vulnerabilità consente di inserire codice arbitrario, JavaScript o semplice codice Html, come input nell'applicazione web vulnerabile, la quale fa eseguire lo script nel browser dell'utente mettendo a rischio le informazioni dell'utente stesso.
beh.. meglio tardi che mai :)
Tiscali ha risposto ad una mia segnalazione:
Gentile Cliente,Sarà, ma leggersi in chiaro la mail di qualunque utente non è robetta da poco...
se spulci, se ne trovano parecchie di "voragini" in tiscali. Forse presteranno attenzione ai loro clienti solo quando avranno il danno in casa e li fara' perdere di quota.
Ciao, vi segnalo questa voragine, l'ho travata qualche gg fa e anche in questo caso pare che Tiscali non presti orecchio alla comunità hacker...
http://seclists.org/fulldisclosure/2007/Apr/0482.html
Fatemi sapere che ne pensate...
Lycos, superEva e Tiscali sono pieni di errori... Ho contattato Tiscali per segnalare alcuni problemi e ora, dopo più di due giorni non solo non mi hanno risposto ma non li hanno neanche corretti. Avevo anche segnalato quello che ha segnalato Zogs.
interessante Zogs, grazie per la segnalazione.
Io trovai vulnerabile (tanto tempo fa') mail.tiscali.it
ho mandato un'email ma non mi hanno mai preso in cosiderazione, evidentemente se ne fregano della sicurezza e pensano a fare solo soldi.
senza mettere naso nella vulnerabilità, un wa abbastanza valido è l'installazione dell'estensione NoScript di firefox che permette (con quest'ultima versione) anche di rilevare ponteziali XSS, di bloccarli e di loggarli. l'estensione la potete trovare qui: https://addons.mozilla.org/en-US/firefox/addon/722
un esempio è nel translate di google, per ora fa una cosa un po' "sporca" ma data la pericolosità:
[NoScript XSS] Sanitised suspicious request referrer. URL [http://www.google.it/language_tools?hl=it] requested from [http://www.google.it/language_tools?hl=it]. Sanitised Referrer: [http://translate.google.com/translate?u=http%3A%2F%2F&langpair=en%7Cit&hl=it&ie=UTF-8&oe=UTF-8&prev=%2Flanguage_tools].)
al momento, per esempio, bisogna rendere trust google.com per continuare... baco?
Ti ringrazio per aver letto e preso in considerazione la mia email. Ti comunicherò altri bug di rilevante importanza anche la prossima volta.Questi sono veramente problemi seri e non sono gli unici, anche altri siti ad esempio quello mediaset o quello nastro azzurro sono buggati.
Blogosfere è il più grande network italiano di blog professionali d'informazione.
Qui puoi trovare le ultime news su cronaca, politica, economia, cultura, scienze, tecnologia, spettacoli, moda, sport, motori, viaggi e cucina prodotte in perfetto stile multimediale.
Blogosfere Srl socio unico
P. IVA 05221970964
Sede legale: Via Pordenone 8 20132 Milano
REA n. 1804860
Privacy
Condizioni di utilizzo
Copyright © 2005-2012 Blogosfere
Quest'opera è pubblicata
con licenza Creative Commons
Attribution - Non commercial - No derivates
Per informazioni pubblicitarie e progetti speciali su Blogosfere (media brand del gruppo Populis) contattare la concessionaria pubblicitaria del gruppo, Populis Engage
alle 13:19
Devid Antonio Filoni
Anche tuttogratis.it contiene molti errori di tipo XSS. Eccone un esempio:http://www.tuttogratis.it/search.htm?k=%22%3E%3Cscript%3Ealert%28%22XSS%22%29%3C%2Fscript%3E%3Ca%3D%22&invia.x=14&invia.y=6