Emilio Pinna ha scoperto una vulnerabilità XSS dell’autenticazione dell’utente della MyFastPage di FastWeb.
Esiste anche una pagina in cui è possibile verificare se si rischia di cadere vittime di questo tipo di attacco.
Un ipotetico attaccante potrebbe modificare la password di accesso o accedere ai dati dell’utente e alla posta elettronica.
Questo documento [PDF] mostra in dettaglio come sia possibile sfruttare questa vulnerabilità.
Emilio ha segnalato il problema a FastWeb un mese fa ed ha ricevuto una risposta, ma il problema permane. (via Full Disclosure)
3 risposte a “XSS sulla MyFastPage”
Grazie per la segnalazione!
A casa mia estrae solamente l’indirizzo per il Pannello ‘configurazione portmapping della LAN’ (cfg-ngrg).
Tutto il resto è bloccato.
Max
Buono a sapersi, grazie per il feedback.
Io non ho FastWeb, quindi non posso controllare.
Articolo interessante, ma non è la prima volta che fastweb inciampa sulla buccia di banana. A setttembre 2010 era uscito un articolo da ihteam (http://www.ihteam.net/hacking-news/problemi-di-privacy-per-fastweb-italia/) nel quale venina descritta una vulnerabilità molto più semplice da sfruttare e applicabile in larga scala.