Re: [ml] UniCT e chissa' quante altre vulnerabile a XSS

On Thu, 21 Feb 2008 14:52:29 +0100, skien <skienlab@xxxxxxxxx> wrote:
> Be' il discorso mi sembra di averlo posto in simpatia... non era certo
> un vanto o altro di bambino cracker che ha fatto la marachella.
> 
> Tutto nasce su 'quanto sono realmente sicuri i siti delle universita'
> italiane contro le mode del momento? (vedi XSS)
> 
> e sopratutto quanto sono tempestivi o danno importanza i mantainer ed i
> responsabili?
> 
> era una sorta di 'punto sulla situazione'.
> 
> Il fatto che ad oggi, passate già 48hr e contattati i diretti
> 'responsabili' i quali non hanno ne' patchato ne' tantomeno considerato
> il mail...dovrebbe far pensare alla poca? importanza che ha la sicurezza
> in ambito universitario..o (ma mi sembra strano ipotizzarlo) solo
> nell'università di Catania.
> 
> 
> Punto pen-ultimo, la vulnerabilita' non e' stato per altro 'ricercata'.
> Ã balzata agli occhi dal nulla, certo fa di me una persona poco tecnica
> e professionale dirlo:), ma quella pagina viene data al -page not found-
> quindi... pià palese di cosÃ!
> 
> Punto ultimo, proprio a causa della sicurezza e' nato il discorso, per
> quanto i siti universitari italiani siano spesso solo 'informativi' sono
> poco appetibili (per le mode degli ultimi tempi) per cracker alla
> ricerca di soldi facili, spesso i problemi non balzano proprio agli
> occhi al primo acchitto e quindi vengono valutati meno
> profondamente.(vedi problemi simili legati alle banche e allo
> stupefacente panico mediatico suscitato nei mesi/anni scorsi:
> Sella,Poste etc...)
> 
> ma se consideriamo per un attimo, i dati sensibili che ogni secondo quei
> siti fanno circolare, Codice fiscale, matricola, webmail
> docente/amministrazione/tecnico/studenti ed in alcuni casi anche
> pagamenti online di tasse iscrizioni/rate venissero rediretti /
> sniffati...il problema avrebbe sicuramente un'ampiezza maggiore.
> 
> ricordo inoltre che essendo solo, semplicemente, una questione di XSS e
> non essendo nessuna 'penetrazione' nei sistemi, la cassa di risonanza
> risulta ancora pià ampio, perchà usabile senza (quasi) nessuna traccia,
> se non quella della vittima.
> 
> -
> C'e' anche un altro fattore ben pià grave IMHO che non ho postato,
> sperando in una cortese risposta o patch da parte degli amministratori
> del sito in questione.
> -
> 
> Ah. dimenticavo...non à pià la mia universitÃ...non sono riuscito a
> superare lo scoglio delle analisi.=)
> 
> -skien

Che i siti universitari italiani siano considerabili alla stregua di un
colabrodo à ormai risaputo.. ho spesso visto sql injections di varia
natura, xss, csrf e altre cosucce.
Ma la cosa non à limitata alle università ma a tutti i siti istituzionali
in genere che della sicurezza (soprattutto della web application) se ne
fregano molto poco, e anche dopo una eventuale segnalazione continuano a
fregarsene altamente (esperienza personale).

Comunque generalmente eviterei di spargere in questa maniera delle
vulnerabilità di altri siti, anche perchà come dice Perego à proprio
reato perchÃ, nonostante io mi ponga il dubbio che operando solo a livello
Client del JavaScript non si possa questo considerare un'infrazione
dell'articolo 615-ter (che mi à stato personalmente imputato), non ti Ã
consentito legalmente effettuare pentesting di qualsiasi sorta senza una
liberatoria rilasciata dall'interessato.

Comunque ti ricordo che fintanto che l'XSS Ã una richiesta HTTP questa
viene loggata da Apache ed ovviamente oltre alle vittime di questo
possibile attacco resulteresti anche tu.

/nex