Roma – Punto Informatico è dovuto correre ai ripari nella giornata di ieri dopoché Salvatore Aranzulla , bug hunter 15enne e da tempo divulgatore informatico anche attraverso una propria newsletter sulla sicurezza, ha segnalato al quotidiano informatico la sussistenza di un bug nel codice del nuovo sito adottato da PI nei giorni scorsi.
Aranzulla, già scopritore di alcune falle in sistemi gestiti da Google e Yahoo!, ha spiegato che “nella vostra nuova versione di PI è presente un pericoloso bug XSS (o CSS), ovvero di inserimento codice HTML nelle vostre pagine, da parte di un attaccante esterno”.
Come già accaduto in altri casi del tutto simili, il bug avrebbe consentito la falsificazione dei cookie e quindi delle credenziali di un utente registrato. Nel caso di Punto Informatico, tuttavia, sarebbe potuto accadere dell’altro: un cracker avrebbe potuto inserire uno script all’interno della URL con effetti potenzialmente dannosi per gli utenti.
“La risoluzione del problema è molto semplice – ha scritto Aranzulla – basta filtrare la variabile “r”, con la quale si identifica quale sezione del sito si sta visitando, in questo modo: r = Server.HtmlEncode(Request(“r”))”. E, in effetti, bastava questo.
Ti potrebbe interessare
20 mag 2005