Premetto che non mi assumo nessuna responsabilità per eventuali danni causati sul sito in questione.
In un mio precedente articolo, risalente a qualche mese fa, riportavo la suddetta vulnerabilità di questa (abbastanza) famosa piattaforma di social networking.
Ho inviato delle mail al support italiano, sono stato rimandato a quello europeo dai quali non ho mai più ricevuto alcuna risposta…. evidentemente non lo ritengono una minaccia.
Data Contatto: 11/07/2009 (senza ottenere risposta)
Pubblicazione:18/10/09
Tipologia:Cross Site Request Forgeries
Indirizzo: it.netlog.com
Eseguendo nel browser la pagina creata ad hoc (ecco un esempio) mentre è attiva una sessione in netlog, la vittima si ritroverà tra i post del suo blog un nuovo articolo, il quale contenuto sarà a completa discrezione di chi esegue l’attacco. Non ho avuto tempo di provare ad inserire vettori XSS ma probabilmente ci sarà modo ,visto che non fixano il form nemmeno sotto segnalazione.
Questa vulnerabilità permette la auto-distribuzione dell’ attacco, poichè se il post forgiato contenesse un link alla pagina di partenza da cui il post stesso è stato creato e se un altro utente vi cliccasse, esso si replicherebbe istantaneamente nel profilo di chi ha visitato la pagina infetta . La capacità di autodiffondersi unita ad una falla XSS rappresenterebbe una minaccia per gli utenti di Netlog.
Il file di prova che ho inserito in questo articolo è puramente a scopo informativo, scoraggio chiunque nell’effettuare un attacco verso il sito internet indicato.
2 risposte finora ↓
Red Skull // Ottobre 18, 2009 a 9:43 pm |
ahaha che idioti quelli di netlog…
secondo me hai sprecato solo tempo inviandogli mail..
Io avevo fatto un’articolo su come creare + urli con un tempo minimo di 1 secondo (anzi di qualche minuto) senza segnalare a nessuno, ci hanno pensato loro a fixare…
cmq Good Jobs
fatmatt // Ottobre 18, 2009 a 9:49 pm |
si ma onestamente mi fa un po arrabbiare perchè io ce lho messa tutta.
In quanto utente (ormai ex) di netlog gli ho scritto come fixare la cosa … non che ci volesse + di 1 minuto per capire. Gli ho inviato la descrizione completa in inglese ma loro non sembrano interessati.
Grazie, sembra che netlog sia un buon playground..