Approfitto di questo articolo per complimentarmi con Davide Denicolo in primo luogo perché prende il posto dell'amico Gianni Amato su exploit.blogosfere.it e in secondo luogo perché autore di un bell'articolo dove descrive nel nuovo portale di Trenitalia due vulnerabilità , da lui scoperte, che consentirebbero ad un attaccante sia di iniettare codice all' interno del sito sia inviare codice malevole attraverso una cortese mail con mittente Trenitalia.
I bugs, descritti su Full Disclosure dopo essere stati resi noti all' ufficio stampa di Trenitalia sono i seguenti:
1 La form Cerca presenta un classico bug XSS .
2 La pagina ffss_mailer.jsp ed invocata dalla funzionalità Invia a un amico permette di inoltrare a nome di Trenitalia, una mail diretta ad un indirizzo inserito dall' attaccante stesso ed eventualmente esiste la possibilità di effettuare anche un URL_redirect.
L'articolo riporta anche due vulnerabilità scovate da Matteo Flora sul portale Libero.it, e fixate prontamente dal team con molta rapidità .
Per approfondire vi consiglio di leggere l'articolo di Davide: XSS ad alta velocitÃ
Tags: Web, XSS e XSF, javascript, phishing, sicurezza
Articoli correlati
Random






















