XSS sulla MyFastPage

Emilio Pinna ha scoperto una vulnerabilità XSS dell’autenticazione dell’utente della MyFastPage di FastWeb.

Esiste anche una pagina in cui è possibile verificare se si rischia di cadere vittime di questo tipo di attacco.

Un ipotetico attaccante potrebbe modificare la password di accesso o accedere ai dati dell’utente e alla posta elettronica.

Questo documento [PDF] mostra in dettaglio come sia possibile sfruttare questa vulnerabilità.

Emilio ha segnalato il problema a FastWeb un mese fa ed ha ricevuto una risposta, ma il problema permane. (via Full Disclosure)

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

3 pensieri riguardo “XSS sulla MyFastPage”

  1. Grazie per la segnalazione!
    A casa mia estrae solamente l’indirizzo per il Pannello ‘configurazione portmapping della LAN’ (cfg-ngrg).
    Tutto il resto è bloccato.

    Max

Spazio per un commento