In particolare, se un discreto numero di utenti riesce a trovare un accordo sul contenuto testuale dei link che puntano ad un certo sito è possibile far sì che la ricerca di una parola o di una frase su Google restituisca come primo risultato proprio quel sito!
In questo caso il link che si è voluto creare è stato "<a href="http://www.italia.it">merda</a>" (merda) ed infatti in breve tempo si è riusciti ad ottenere il risultato desiderato: oggi su Google.it la ricerca di tale vocabolo restituisce come primo risultato effettivamente quell'obbrobrio di sito, come si può osservare cliccando qui. Forse tra qualche giorno qualcuno interverrà in modo tale da fare sparire quel risultato, ma ad imperitura memoria rimarrà comunque l'immagine proposta sopra .

Related posts:

1. italia.it: Applicazione Pratica di XSS Innanzitutto, cos'è XSS? L'acronimo sta per "Cross-Site Scripting" (la X...

L'acronimo sta per "Cross-Site Scripting" (la X serve per evitare il conflitto con la sigla CSS, che indica tutt'altro).

È spiegato molto bene, in inglese, qui. Per i più pigri, diciamo che si tratta di inserire codice maligno, solitamente Javascript, in pagine create da altri utenti.

Ciò che si può fare è modificare qualsiasi informazione: nel mio caso le modifiche sono create appositamente in modo sufficientemente macroscopico per essere facilmente notate, ma un lavoro più "di fino" renderebbe i dati modificati assolutamente indistinguibili dagli altri.

Per spiegarvi come è possibile utilizzare in modo pratico questa falla di sicurezza vi propongo semplicemente dei link validi al sito. Se osservate gli URL vedrete che non è un mio sito modificato, ma proprio quello dell'Italia. Naturalmente quanto segue funziona solo al momento in cui è stato scritto questo e si spera che nell'immediato futuro la falla sia chiusa.

1. Primo link, provate a rispondere alla domanda proposta in entrambi i modi e, nel caso rimaniate sul sito, cercate di scovare le 4 modifiche presenti ; nel caso in cui non funzioni più il link si osservi la seguente immagine:
   

   

2. Secondo link, che rende il sito, come dire, più dinamico, se possibile, di quello che è (record personale di incisi in una frase così corta!). In questo caso, se non funzionasse il link, immaginatevi le immagini del sito che danzano per lo schermo.

Capirete quante altre porcate si possano fare e come si possa manipolare l'informazione. Quello che vi ho mostrato è più simpatico che dannoso, ma si fa presto a pensare ad un problema ben più grave: se ci fosse un form di login, sarebbe molto facile redirigere i dati inseriti dagli utenti (username e password) verso di me, attuando ciò che viene denominato phishing.

AGGIORNAMENTO: ieri hanno finalmente hanno corretto questo grossolano bug, comunque potete vedere sempre lo screenshot del primo link .

Nessun post attinente.