Ricerca su Lycos a rischio script

Un bug nel motore di ricerca di Lycos espone gli utenti al rischio di essere bersaglio di script maliziosi contenuti nei siti indicizzati

Web (Internet) - Il gruppo di sicurezza CSC Sentry Research Labs, negli scorsi giorni, ha riportato una notizia secondo cui il motore di ricerca di Lycos soffrirebbe di un baco che consentirebbe quasi a chiunque l'inserimento di codice malizioso nella pagina dei risultati delle ricerche.

Il problema, di cui si era già parlato in alcuni gruppi di discussione dedicati alla sicurezza, sembra derivare da un'errata trasformazione, da parte del motore di Lycos, del codice HTML "commentato" contenuto nelle pagine Web indicizzate dal "ragno" e poi archiviate nel database.

È noto, infatti, come i motori di ricerca in genere riportino le prime righe contenute all'interno di una pagina Web come sua descrizione o anteprima: basterà che il codice da "attivare" rientri in queste poche righe, solitamente in testa alla pagina.
Tanto per fare un esempio, se nel codice HTML di un sito appare la stringa &lt;input&gt; il motore di Lycos l'archivierà come <input> così che, quando il codice verrà visualizzato nella pagina dei risultati, il browser dell'utente lo interpreterà come un tag HTML attivo: nell'esempio, verrà visualizzata una casellina di input.

La pericolosità di tale bug, come avrà già compreso chi mastica un po' di HTML, sta nel fatto che potenzialmente chiunque potrebbe inserire uno script "maligno" all'interno di una pagina che sarà poi indicizzata da Lycos. Uno script che, ad esempio, potrebbe spammare l'utente aprendogli finestre pop-up pubblicitarie o fargli crashare il browser.

Ecco un esempio riportato anche sul bollettino di sicurezza di CSC:

&lt;script language=&quot;javacript&quot;&gt;
window.open(&quot;spampage.htm&quot;) &lt;/script&gt;

Alcuni utenti della nota mailing-list di sicurezza Bugtraq sostengono di aver avvisato Lycos del baco già a metà luglio, ma ad oggi il problema ancora sussiste: per averne una dimostrazione, è possibile visualizzare un'innocua pagina di esempio qui.
TAG: mondo