Altra Vulnerabilità XSS su Libero.it

Dopo la vulnerabilità di Rosario Valotta che avevo segnalato è ora di proporre la mia vulnerabilità personale ;) Con un Advisory su BugTraq e su Full-Disclosure (e ovviamente all’Abuse di Libero.it) la Proof Of Concept di una pagina costruita per:

  • Mostrare il Cookie dell’utente
  • Mostrare un testo in alert evadendo i controlli degli apici
  • Effettuare un redirect ad una pagina arbitraria

Ed ecco un paio di immagini della realizzazione pratica: * Immagine 1: mostro il cookie * Immagine 2: Mi preparo a redirigere l’utente

La vulnerabilità è presente (ma non è la sola) nella pagina di redazione del profilo e consente di inserire un qualunque codice Javascript con l’unica limitazione della impossibilità di usare apici. Ma l’evasione di questi filtri è sinceramente una manovra tanto semplice quanto comune

Sino a che Libero non eliminerà la pagina incriminata è possibile vedere gli effetti QUIe comunque nelle immagini presenti in questo Post.

E prima che qualcuno dica che l’XSS non è pericoloso, come ovviamente hanno sostenuto gli incaricati della PR di Libero, faccio solamente notare le potenzialità di Phishing e di Session Riding che so per certo qualcuno sta valutando ;)

E nei prossimi giorni sembra proprio che verranno pubblicate svariate altre vulnerabilità sull’argomento Libero.it…

Sarebbe piacevole ricevere contatti dallo Staff del Portale per poter coordinare i lavori, ma a parte il Call Center non risponde mai nessuno di tecnico… Ben disponibile a dare una mano, se possibile, ma per ora l’unica dimostrazione effettiva è che l’episodio precedente non è né isolato né tanto meno unico…

UPDATE: Sembra che nella mattinata del 29 il problema da me segnalato sia stato risolto e che quindi il link della POC non sia più funzionante. Per chi non è riuscito a dare un’occhiata qui di seguito il filmato che mostra il funzionamento della POC.

Autore:

E’ davvero Brian F. Hamade il leaker delle immagini di Kate Upton e Jennifer Lawrence?

4chan da e 4chan toglie, parrebbe. Se, per lo meno come dice questa immagine, il leaker delle immagini del Fappening su Ariana Grande, Bar Rafaeli, Becca Tobin, Brie Larson, Hope Solo, Jennifer Lawrence, Jessica Brown Findlay, Kate Upton, Kirsten Dunst, Krysten Ritter, Lea Michele, Mary Elizabeth Winstead, McKayla Maroney, Melissa Benoist, Olivia Munn, Selena Gomez, […]