Tips & Tricks di sicurezza informatica
Cambia lo stile del portale, aumentano i costi dei biglietti ed anche la sicurezza dei propri clienti questa volta lascia un pò a desiderare.
Parlo del portale di Trenitalia delle Ferroviedellostato sul quale ho identificato due vulnerabilità che consentirebbero ad un attaccante sia di iniettare codice all' interno del sito sia inviare codice malevole attraverso una cortese mail con mittente Trenitalia.
I bugs, tecnicamente descritti su Full Disclosure sono stati innanzitutto resi noti all' ufficio stampa di Trenitalia; ma vediamo nel dettaglio di cosa si tratta:
La form Cerca presente nella homepage non effettua alcun controllo in ingresso, permettendo così di inserire arbitrariamente codice HTML; una richiesta POST mal formata, permetterebbe per esempio di visualizzare il cookie dell' utente ( ricordo che il sito di Trenitalia possiede un' area riservata per la gestione dei propri viaggi ) e di inviarlo a terzi siti, un classico bug XSS per farla breve.
L' altro bug, presente nella pagina ffss_mailer.jsp ed invocata dalla funzionalità Invia a un amico permette di inoltrare a nome di Trenitalia, una mail diretta ad un indirizzo inserito dall' attaccante stesso. Se formattato opportunamente la variabile textfield, è possibile generare un URL Redirect e dirottare la vittima verso terze pagine, non appena il link presente nella mail viene clickato.
Rimanendo sempre nell' argomento, Matteo Flora ha identificato nei giorni scorsi altre due vulnerabilità sul portale Libero.it, già vittima in passato di simili errori; fortunatamente questi ultimi sono stati patchati dal team con molta rapidità.
Vedremo cosa succederà nei prossimi giorni.
Approfitto per ringraziare Gianluca Riccio di Futuroprossimo per aver dato un fondamentale tocco di fantasia alla grafica di questo post e di quelli che nel futuro verranno.
Ma le mail non sono a nome di Trenitalia sono a nome di Ferroviedellostato … o si riesce a cambiare il mittente?
Hai ragione Marco lasciami passare questa mia disattenzione non notando che si tratta di due cookies differenti, ma comunque sia non mi viene giustificata la possibilità di inserire attraverso la form di ricerca codice arbitrario. E della possibilità di inviare mail a nome di Trenitalia?
Credo si sia fatta un po’ di confusione tra il sito di ferrovie
http://www.ferroviedellostato.it
e il sito di Trenitalia
http://www.trenitalia.com/it/nazionali.shtml
Non credo che dal sito di Ferrovie si riescano ad ottenere i dati dell’area riservata di Trenitalia!
Blogosfere è il più grande network italiano di blog professionali d'informazione.
Qui puoi trovare le ultime news su cronaca, politica, economia, cultura, scienze, tecnologia, spettacoli, moda, sport, motori, viaggi e cucina prodotte in perfetto stile multimediale.
Blogosfere Srl socio unico
P. IVA 05221970964
Sede legale: Via Pordenone 8 20132 Milano
REA n. 1804860
Privacy
Condizioni di utilizzo
Copyright © 2005-2012 Blogosfere
Quest'opera è pubblicata
con licenza Creative Commons
Attribution - Non commercial - No derivates
Per informazioni pubblicitarie e progetti speciali su Blogosfere (media brand del gruppo Populis) contattare la concessionaria pubblicitaria del gruppo, Populis Engage
alle 23:11
Davide Denicolo
No sono a nome di Ferroviedellostato se parliamo a livello di dominio di rete; ho usato "erroneamente" il titolo Trenitalia per generalizzare ed intendere la società che gestisce le ferrovie in italia. E ' da poco infatti che l'accesso a trenitalia.com risulta essere un redirect verso ferroviedellostato.it; comunque data la confusione è opportuno modificare il post così da rendere più comprensibile la vicenda ;) Grazie