Innanzitutto, cos'è XSS?
L'acronimo sta per "Cross-Site Scripting" (la X serve per evitare il conflitto con la sigla CSS, che indica tutt'altro).
È spiegato molto bene, in inglese, qui. Per i più pigri, diciamo che si tratta di inserire codice maligno, solitamente Javascript, in pagine create da altri utenti.
Ciò che si può fare è modificare qualsiasi informazione: nel mio caso le modifiche sono create appositamente in modo sufficientemente macroscopico per essere facilmente notate, ma un lavoro più "di fino" renderebbe i dati modificati assolutamente indistinguibili dagli altri.
Per spiegarvi come è possibile utilizzare in modo pratico questa falla di sicurezza vi propongo semplicemente dei link validi al sito. Se osservate gli URL vedrete che non è un mio sito modificato, ma proprio quello dell'Italia. Naturalmente quanto segue funziona solo al momento in cui è stato scritto questo e si spera che nell'immediato futuro la falla sia chiusa.
- Primo link, provate a rispondere alla domanda proposta in entrambi i modi e, nel caso rimaniate sul sito, cercate di scovare le 4 modifiche presenti ;); nel caso in cui non funzioni più il link si osservi la seguente immagine:
- Secondo link, che rende il sito, come dire, più dinamico, se possibile, di quello che è 😀 (record personale di incisi in una frase così corta!). In questo caso, se non funzionasse il link, immaginatevi le immagini del sito che danzano per lo schermo.
Capirete quante altre porcate si possano fare e come si possa manipolare l'informazione. Quello che vi ho mostrato è più simpatico che dannoso, ma si fa presto a pensare ad un problema ben più grave: se ci fosse un form di login, sarebbe molto facile redirigere i dati inseriti dagli utenti (username e password) verso di me, attuando ciò che viene denominato phishing.
AGGIORNAMENTO: ieri hanno finalmente hanno corretto questo grossolano bug, comunque potete vedere sempre lo screenshot del primo link ;).
Post attinenti:
9 commenti ↓
1 S.
~ 26/02/2007 @ 00:43:43
Continuo il mio ormai perenne no comment. E, per quello che si può notare dal codice, è un errore piuttosto stupido.
45 milioni di euro, eh?
2 poluz
~ 26/02/2007 @ 09:21:47
Brrr!! Però potevi fare che le immagini seguissero il puntatore del mouse!! 😀
PS: questo è accanimento terapeutico contro il «povero» italia.it!
3 Peach
~ 26/02/2007 @ 10:43:38
potevi metterci una gif animata di uno che sboccava sul sito, no? così saresti stato più credibile 😉
4 Italia.it « Ket! che ci fai in Congo? ~ 26/02/2007 @ 11:15:04
[...] 26th, 2007 Non dico la mia perchè mi cadono le braccia. Andate a vedervi questo link con un paio di Cross-Site Scriptin Posted by micheket Filed in [...]
5 micheket
~ 26/02/2007 @ 11:55:46
Chiedo scusa devo aver fatto un po di casino con il commento di prima e cmq complimenti a Giacomo! 🙂 michele
6 almondidea
~ 26/02/2007 @ 15:33:28
hihi
davvero interessante!!
...anche io voglio imparare!
7 iabadu » italia.it, XSS e bugs ignorati ~ 27/02/2007 @ 09:10:22
[...] eccoci, dopo aver segnalato il 23 febbraio cosa succedeva agendo sui POST e GET del sito italia.it, si stanno moltiplicando le “applicazioni” di tale problema di XSS (Cross Site Scripting), qui un esempio tra i molti. [...]
8 links for 2007-02-27 « Andy’s Blog ~ 27/02/2007 @ 19:20:39
[...] italia.it: Applicazione Pratica di XSS « Blog ad Improbabilità Infinita (tags: itallia.it) [...]
9 paolo
~ 1/03/2007 @ 14:36:06
Ciao!
Io avevo fatto questo,
http://www.gnuband.org/2007/02/28/what_can_we_xss_inject_into_the_new_40_millions_euros_portal_italiait_better_help_in_redoing_it_ritaliacamp/
(pero' c'e' anche il video 😉
ma gia' oggi questi semplici XSS non funzionano piu'.
Bisogna passare al prossimo livello ... che le danze abbiano inizio! 😉
P.
Commentami!