C'è uno spiffero in PagineBianche.it

Sui forum di Punto Informatico è stato segnalata una debolezza nel sito PagineBianche.it di Seat che potrebbe essere utilizzata per attacchi di phishing. Un problema simile interessa anche il noto portale Leonardo.it

Roma - Nel noto sito PagineBianche.it di Seat è emersa una problematica di sicurezza che potrebbe andare a vantaggio degli esperti in truffe on-line e phishing.

Segnalata ieri in questo thread del Forum delle Segnalazioni di Punto Informatico, la vulnerabilità è di tipo cross-site scripting e potrebbe essere sfruttata da un aggressore per dirottare gli utenti verso siti "trappola".

L'esperto di sicurezza Gerardo Di Giacomo, dello staff di Zone-h.it, ha spiegato a PI che un malintenzionato potrebbe indurre un utente a cliccare su di un link come questo.
"All'interno dell'URL c'è una stringa che dice al browser di recarsi sul sito www.punto-informatico.it. Ovviamente un truffatore potrebbe mettere al posto di www.punto-informatico.it l'indirizzo di un sito truffaldino che clona la veste grafica di PagineBianche.it: in questo modo l'utente comune difficilmente si accorgerebbe di essere finito nel posto sbagliato", ha affermato Di Giacomo. "Il sito malevolo potrebbe ad esempio promuovere un servizio a pagamento destinato agli abbonati del telefono e contenere un form che richiede i dati personali dell'utente, incluso il numero della carta di credito".

L'esperto ha tuttavia sottolineato come questa debolezza non possa essere utilizzata per compromettere in modo diretto la sicurezza o la privacy degli utenti.

"Trattandosi di un sito che non possiede un form di registrazione/login, - ha spiegato Di Giacomo - è impensabile sfruttare tale vulnerabilità alla maniera "classica", cioè cercando di rubare il cookie di autenticazione degli utenti e accedere ad un eventuale pannello contenente i dati personali".

Sui forum di PI è emerso che il problema interessa anche il noto portale Leonardo.it, ed in particolare il form d'inserimento del motore di ricerca interno del sito: un esempio di come potrebbe essere sfruttata la vulnerabilità si trova qui.

PI ha segnalato il problema ai rispettivi siti ed è in attesa di una risposta.
26 Commenti alla Notizia C'è uno spiffero in PagineBianche.it
Ordina
  • - Scritto da: Presid. Scrocco
    >
    > http://www.paginebianche.it/execute.cgi?btt=1&tl=2
    >
    > Sorpresa

    GrandissimoA bocca aperta
    non+autenticato
  • E' ovvio che è acqua calda, i buchi ce li hanno tutti.

    Vedi repubblica:

    http://finanza.repubblica.it/scripts/cligipsw.dll?...
    A bocca aperta A bocca aperta A bocca aperta

    Mi merito una Perri-air....



    ==================================
    Modificato dall'autore il 20/07/2005 10.56.07


    ==================================
    Modificato dall'autore il 20/07/2005 11.34.51
  • Non fa
    non+autenticato
  • Pure le banche online... non ci si può fidare proprio di nessuno:

    http://iwbank.is-asp.com/

    Inserite nel form "> (virgolette e maggiore) e poi i soliti tag script e un bell'alert("ciao")......

    Potremmo fare una listona di questi siti, una gara lamer.... Deluso
  • wow simpatica sta cosa
    non+autenticato
  • - Scritto da: Presid. Scrocco
    > Pure le banche online... non ci si può fidare
    > proprio di nessuno:
    >
    > http://iwbank.is-asp.com/
    >
    > Inserite nel form "> (virgolette e maggiore) e
    > poi i soliti tag script e un
    > bell'alert("ciao")......
    >
    > Potremmo fare una listona di questi siti, una
    > gara lamer.... Deluso

    http://iwbank.is-asp.com/it/suche/main.html?search...

    accorciato qui
    http://snurl.com/gdku
    non+autenticato
  • Si possono fare cose simpatiche in effetti.

    #######disclaimer##################
    il link qui sotto porta ad una pagina creata ad arte, non e' una notizia vera, non rompetemi le scatole
    #################################

    http://finanza.repubblica.it/scripts/cligipsw.dll?...

    Aggiungete voi un aggettivo di vostro gradimento
    non+autenticato
  • - Scritto da: Anonimo
    > Si possono fare cose simpatiche in effetti.
    >
    > #######disclaimer##################
    > il link qui sotto porta ad una pagina creata ad
    > arte, non e' una notizia vera, non rompetemi le
    > scatole
    > #################################
    >
    > http://finanza.repubblica.it/scripts/cligipsw.dll?
    >
    > Aggiungete voi un aggettivo di vostro gradimento

    url incasinatissima, meglio cosi':
    http://poveril.notlong.com/
    non+autenticato
  • Quest'uomo è dio... io lo amo.
    non+autenticato
  • Per la par condicio:

    http://www.raiclick.it/raiclick_tv/search.jsp?word...

    Occhiolino

    ==================================
    Modificato dall'autore il 20/07/2005 17.49.26
  • Più che un esperto sembra solo il solito smanettone in cerca di pubblicità che cerca di propinare acqua calda ai meno informati.
    Infatti, quello di cui si parla nell'articolo è noto a chiunque si occupi di IT e non bisogna di certo esere esperti di sicurezza.
    Forse sarebbe meglio lasciare più spazio ai veri esperti. Sono stanco di leggere articoli scritti da periti industriali e ragionieri programmatori, voglio sentire pareri più autorevoli, magari provenienti dal mondo accademico o da quello della ricerca

    Saluti

    A.

    non+autenticato
  • Qualcosa contro i periti industriali?ArrabbiatoSorride

    Io credo che fino a quando esisteranno
    persone che vanno a selezionare un link solo
    perché c'é scritto "click me" anche una vulnerabilità
    di tipo XSS possa essere pericolosa..

    Se lavori nel settore informatico ed hai avuto
    la fortuna/sfortuna di dover dare assistenza
    a qualche cliente penso tu non possa che
    concordare..Occhiolino
    non+autenticato

  • - Scritto da: Anonimo
    > Più che un esperto sembra solo il solito
    > smanettone in cerca di pubblicità che cerca di
    > propinare acqua calda ai meno informati.
    > Infatti, quello di cui si parla nell'articolo è
    > noto a chiunque si occupi di IT e non bisogna di
    > certo esere esperti di sicurezza.

    E quindi?

    > Forse sarebbe meglio lasciare più spazio ai veri
    > esperti. Sono stanco di leggere articoli scritti
    > da periti industriali e ragionieri programmatori,
    > voglio sentire pareri più autorevoli, magari
    > provenienti dal mondo accademico o da quello
    > della ricerca

    E tu che ne sai da dove viene quel parere?
    non+autenticato

  • - Scritto da: Anonimo
    CUT
    > Sono stanco di leggere articoli scritti
    > da periti industriali e ragionieri programmatori,
    > voglio sentire pareri più autorevoli, magari
    > provenienti dal mondo accademico o da quello
    > della ricerca
    >
    > Saluti
    >
    > A.
    >


    La rete e' grande abbastanza da fornirti cio' che cerchi.

    frog
    455
  • - Scritto da: Anonimo

    > Infatti, quello di cui si parla nell'articolo è
    > noto a chiunque si occupi di IT e non bisogna di
    > certo esere esperti di sicurezza.

    Scusa... se le falle, quando sono "triviali" per chi le conosce bene, non venissero mai segnalate proprio perche` presunte "acqua calda", non sarebbe peggio? Sara` acqua calda ma e` sfruttabile... al limite il titolo di banalone dovrebbe andare a chi ce l'ha messa l'acqua calda, non a chi l'ha "scoperta".

    > Forse sarebbe meglio lasciare più spazio ai veri
    > esperti. Sono stanco di leggere articoli scritti
    > da periti industriali e ragionieri programmatori,
    > voglio sentire pareri più autorevoli, magari
    > provenienti dal mondo accademico o da quello
    > della ricerca

    Ricerca sull'informatica "pura", o informatica applicata alla ricerca? La prima dev'essere molto rara, la seconda usa gli strumenti informatici che gli capitano, basta che siano abbastanza affidabili (nell'uso normale, non nell'essere a prova di exploit) e che funzionino, e preferibilmente di altissimo livello sintattico (tipo toolkits "punta e clicca per aggiungere il bottone"). Hanno altro da fare che perdere tempo col programmare e/o cercare le fallettine foss'anche nei loro "softwares" (virgolette obbligatorie)... non sono mica esposti agli attacchi di qualche truffaldino.

    Io l'universita` purtroppo non l'ho finita (per rompimento di OO precoce) ma immagino ci siano anche diversi accademici qui intorno... magari, non e` detto che siano immediatamente riconoscibili: forse e` opportuno cercare fra quelli che si sono sorbiti tutta la zolfa universitaria per scoprire che oggi non c'e` mercato...
    non+autenticato
  • - Scritto da: Anonimo
    > Più che un esperto sembra solo il solito
    > smanettone in cerca di pubblicità che cerca di
    > propinare acqua calda ai meno informati.

    Scusa un istante, ma tu giudichi la gravità della vulnerabilità in base a quanto è complicato poterla sfruttare?
    Questi buchi segnalati dal nostro amico qui sono grandi come case... uno potrebbe sostituirti l'intera pagina di una banca per rubarti login e password o cose simili. Ci sono un'infinità di siti vulnerabili, è bene che si indirizzi il problema e lo si corregga, non è certo nascondendo la testa sotto la sabbia o sotto la presunzione che si risolvono i problemi.
    Lo stesso vale per i bug (o le "features" come indicato da alcuni) segnalate da Aranzulla, seppur non siano bug sono comunque falle di sicurezza che vanno tappate al più presto... specie sui siti delle banche!!!!

    P.S.: A proposito di Aranzulla http://www.salvatore-aranzulla.com/2005/07/19/gdf-.../
    non+autenticato
  • ???
    non+autenticato
  • Non lo conosco manco io..... ho preso un sito a caso per far vedere che tutti hanno questa vulnerabilità, ma in quanto a popolarità non credo siano molto conosciuti... A bocca aperta A bocca aperta A bocca aperta