25/02/2007

italia.it: Applicazione Pratica di XSS

Posted in Creazioni, Hacking, Informatica, Javascript, Web a 21:29:34 di JhacK

Innanzitutto, cos’è XSS?

jhack.png

L’acronimo sta per “Cross-Site Scripting” (la X serve per evitare il conflitto con la sigla CSS, che indica tutt’altro).

È spiegato molto bene, in inglese, qui. Per i più pigri, diciamo che si tratta di inserire codice maligno, solitamente Javascript, in pagine create da altri utenti.

Ciò che si può fare è modificare qualsiasi informazione: nel mio caso le modifiche sono create appositamente in modo sufficientemente macroscopico per essere facilmente notate, ma un lavoro più “di fino” renderebbe i dati modificati assolutamente indistinguibili dagli altri.

Per spiegarvi come è possibile utilizzare in modo pratico questa falla di sicurezza vi propongo semplicemente dei link validi al sito. Se osservate gli URL vedrete che non è un mio sito modificato, ma proprio quello dell’Italia. Naturalmente quanto segue funziona solo al momento in cui è stato scritto questo e si spera che nell’immediato futuro la falla sia chiusa.

  1. Primo link, provate a rispondere alla domanda proposta in entrambi i modi e, nel caso rimaniate sul sito, cercate di scovare le 4 modifiche presenti ;); nel caso in cui non funzioni più il link si osservi la seguente immagine:

    modificheprimolink.jpg

  2. Secondo link, che rende il sito, come dire, più dinamico, se possibile, di quello che è 😀 (record personale di incisi in una frase così corta!). In questo caso, se non funzionasse il link, immaginatevi le immagini del sito che danzano per lo schermo.

Capirete quante altre porcate si possano fare e come si possa manipolare l’informazione. Quello che vi ho mostrato è più simpatico che dannoso, ma si fa presto a pensare ad un problema ben più grave: se ci fosse un form di login, sarebbe molto facile redirigere i dati inseriti dagli utenti (username e password) verso di me, attuando ciò che viene denominato phishing.

AGGIORNAMENTO: ieri hanno finalmente hanno corretto questo grossolano bug, comunque potete vedere sempre lo screenshot del primo link ;).

Annunci

12 commenti »

  1. S. said,

    Continuo il mio ormai perenne no comment. E, per quello che si può notare dal codice, è un errore piuttosto stupido.

    45 milioni di euro, eh?

  2. poluz said,

    Brrr!! Però potevi fare che le immagini seguissero il puntatore del mouse!! 😀

    PS: questo è accanimento terapeutico contro il «povero» italia.it!

  3. Peach said,

    potevi metterci una gif animata di uno che sboccava sul sito, no? così saresti stato più credibile 😉

  4. […] 26th, 2007 Non dico la mia perchè mi cadono le braccia. Andate a vedervi questo link con un paio di Cross-Site Scriptin Posted by micheket Filed in […]

  5. micheket said,

    Chiedo scusa devo aver fatto un po di casino con il commento di prima e cmq complimenti a Giacomo! 🙂 michele

  6. almondidea said,

    hihi
    davvero interessante!!
    …anche io voglio imparare!

  7. […] eccoci, dopo aver segnalato il 23 febbraio cosa succedeva agendo sui POST e GET del sito italia.it, si stanno moltiplicando le “applicazioni” di tale problema di XSS (Cross Site Scripting), qui un esempio tra i molti. […]

  8. […] italia.it: Applicazione Pratica di XSS « Blog ad Improbabilità Infinita (tags: itallia.it) […]

  9. paolo said,

    Ciao!
    Io avevo fatto questo,
    http://www.gnuband.org/2007/02/28/what_can_we_xss_inject_into_the_new_40_millions_euros_portal_italiait_better_help_in_redoing_it_ritaliacamp/
    (pero’ c’e’ anche il video 😉
    ma gia’ oggi questi semplici XSS non funzionano piu’.

    Bisogna passare al prossimo livello … che le danze abbiano inizio! 😉

    P.

  10. valentina said,

    nn ho capito niente???? piangoooooooooooo!!!

  11. valentina said,

    voglio imparare anke io peròò!!!!

  12. JhacK said,

    @valentina: ehm…mmm…cosa non hai capito? Non dire “niente” :P! Non c’entra con l’argomento, ma leggi anche questo.


Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger hanno fatto clic su Mi Piace per questo: