XSS sulla MyFastPage

Emilio Pinna ha scoperto una vulnerabilità XSS dell’autenticazione dell’utente della MyFastPage di FastWeb.

Esiste anche una pagina in cui è possibile verificare se si rischia di cadere vittime di questo tipo di attacco.

Un ipotetico attaccante potrebbe modificare la password di accesso o accedere ai dati dell’utente e alla posta elettronica.

Questo documento [PDF] mostra in dettaglio come sia possibile sfruttare questa vulnerabilità.

Emilio ha segnalato il problema a FastWeb un mese fa ed ha ricevuto una risposta, ma il problema permane. (via Full Disclosure)


Pubblicato

in

,

da

Tag:

Commenti

3 risposte a “XSS sulla MyFastPage”

  1. Avatar Max
    Max

    Grazie per la segnalazione!
    A casa mia estrae solamente l’indirizzo per il Pannello ‘configurazione portmapping della LAN’ (cfg-ngrg).
    Tutto il resto è bloccato.

    Max

    1. Avatar Luigi Rosa

      Buono a sapersi, grazie per il feedback.
      Io non ho FastWeb, quindi non posso controllare.

  2. Avatar R00T_ATI

    Articolo interessante, ma non è la prima volta che fastweb inciampa sulla buccia di banana. A setttembre 2010 era uscito un articolo da ihteam (http://www.ihteam.net/hacking-news/problemi-di-privacy-per-fastweb-italia/) nel quale venina descritta una vulnerabilità molto più semplice da sfruttare e applicabile in larga scala.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *