Dopo circa una ventina di giorni dall'avviso di pubblicazione, ecco quì una prima Disclosure. Dopo la prima mail spedita in data 4 Luglio 2007 e la seconda in data 18 Luglio 2007 Hi all wikio staff! I report for the second time this bug that i found on the XXXXX page that allows XSS attacks like hijacking, phishing and cookies grabbing. The bug is located here: XXXXX PAGE. Exactly: http://www.wikio.it/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx Hope that this was usefull to you in the way to fix it as soon as you can. Best regards, A cui faceva seguito la Disclosure Policy. (Il contenuto ribadisce la pericolosità e in questo caso anche il codice della vulnerabilità incriminata, dando la possibilità allo staff del servizio in questione di procedere direttamente al fix) Visto che non ho ricevuto risposta alcuna anche a questa seconda email e considerato che il problema non sembra ancora essere stato fixato ( al momento in cui vi parlo il bug persiste sul sito del social network) ho deciso di pubblicare questa prima Disclosure. AGGIORNAMENTO Dopo aver postato questo articolo, questa mattina sono stato celermente contattato dal responsabile italiano di Wikio (che ringrazio), il quale mi ha subito rassicurato che in breve tempo il bug segnalato sarà corretto.

Il bug potrebbe permettere ad un attaccante di rubare le credenziali di accesso di un numero elevato di utenti, redirettarli su una pagina contenente del codice malizioso oppure potrebbe eseguire degli attacchi di phishing sempre con l'intento di rubare le passwords o altro. Spesso si sottovaluta questo genere di bugs ma così facendo si commette un grave errore. Su siti come i nuovi social network (e il servizio in questione ne è un esempio), si forgiano worm che sfruttano bug di questo genere per proliferare ed infettare più computer possibili in modo semplice e silenzioso, sfruttando anche la reputazione del social network o del sito stesso. (A tal proposito vi segnalo un video dimostrativo che mostra la pericolosità di worm basati su XSS di Rosario Valotta) Non avendo ancora provveduto a risolvere il problema, WIKIO pone gli utenti in una situazione molto pericolosa soprattutto considerando le ultime vulnerabilità di Firefox 2.0.0.5 e Safari. Mi sembra un atteggiamento irresponsabile che un servizio tanto importante quanto diffuso possa ignorare problematiche di questo tipo, ma gli utenti devono essere informati perché è in gioco la loro privacy. Stay Tuned. Ora dopo aver aspettato il rilascio della versione 2.0.0.6 di firefox rilascio questa prima disclosure.

Articoli correlati

Hijacking feeds, Feedburner vulnerabile.

Estate 2006 previsioni nere da SANS.

Google Vulnerabile ad attacchi XSS. 0day

Remote DOS per Firefox 2.0.0.9

Sqlninja 0.1.3 - Free Sql injection Scanner Tool

 Se ti è piaciuto questo articolo, seguici