Programmazione, hacking e sicurezza informatica!
Articoli con tag Cross site scripting
Vulnerabilità XSS trovata su Twitter da un 15enne
01 mese fa
Un 15enne ha scoperto pochi giorni fa una vulnerabilità di tipo XSS (Cross site scripting) su Twitter. Il link alla vulnerabilità è questo:
https://dev.twitter.com/docs/follow-button#%3Cimg%20src=%22%3Cimg%20src=search%22/onerror=alert%28%22Xss-Found-By-Belmin%28~!White!~%29%22%29//%22%3E
Il bug è stato prontamente fixato, quindi non è più utilizzabile.
Oltre al bug su facebook, lo stesso utente assicura di aver trovato un’altra XSS su Facebook, e gli sono stati offerti 700 dollari da Facebook, come ricompensa.
Twitter Hackerato nuovamente da pirati informatici!
01 anno fa
Il popolare sito web Twitter e’ stato attaccato un’altra volta! da pirati che hanno sfruttato vulnerabilita’ esistenti nel suo sistema di sicurezza. Non è la prima volta che Twitter viene colpito, nella home page del sito e’ apparsa la scritta ‘Twitter got hacked’ mentre gli utenti hanno visto scattare il collegamento ad altri siti anche solo facendo transitare il mouse sopra un link, JavaScript (”onmouseover”), Tra le vittime dei pirati c’e’ anche il portavoce della Casa Bianca Robert Gibbs che ha fatto sapere, sempre via Twitter, che il suo twitter era ”impazzito”. Twitter dovrebbe controllare più attentamente la sua infrastruttura di rete, aggiornare applicazioni di rete obsolete e dar maggiori rilevanza all’IT security. Dovrebbe altresì addestrare il suo personale al fine di non essere vittime di attacchi mirati di Social Engineering.
È in corso un attacco nei confronti di Twitter basato su del codice JavaScript inserito nei tweet di ignari utenti.
Si tratta di un XSS (Cross Site Scripting) di cui più volte abbiamo discusso su questo blog, ben congegnato che permette il propagarsi del codice JavaScript in modo virale da account ad account in modo simile a quanto avviene nei worm.
AGGIORNAMENTO ore 15:59: Twitter ha comunicato attraverso il proprio account Safety di aver corretto la falla XSS.
HackersTribe Trova un bug XSS sul sito mediaset striscia la notizia.
21 anno fa
La notizia è appena sfornata, lo staff di hackerstribe ha trovato un Bug XSS, niente poco di meno che sul sito della MEDIASET! e più in particolare quello di Striscia la Notizia.
Abbiamo provveduto a segnalare tale vulnerabilità ed è stata corretta, qui di seguito lo screen del bug:
Come potete notare è una normalissima XSS presente nel modulo di ricerca.
Violato anche il sito di McAfee.
12 anni fa
Alcune vulnerabilità sul sito di McAfee, il noto produttore di antivirus, hanno esposto gli utenti a possibili attacchi di phishing.
Attraverso tecniche ben note agli hackers, quali quella del cross-site scripting (XSS), gli ignari utenti venivano reindirizzati dal sito di McAfee a falsi siti web appositamente creati per infettare i malcapitati con trojans e malware.
Ironicamente, una delle vulnerabilità è stata trovata su McAfee Secure, sito che effettua la scansione dei siti web degli utenti per verificare se fossero soggetti a tale tipo di attacchi. Evidentemente la stessa McAfee non utilizza McAfee Secure, oppure, più verosimilmente, il prodotto non funziona a dovere.
Questi attacchi sui siti dei produttori di antivirus sono particolarmente dannosi, in quanto l’utente, evidentemente a torto, crede di essere al sicuro e approva il download e l’installazione di qualsiasi software gli venga proposto.
Il buco di sicurezza sul sito McAfee Secure indicherebbe, quindi, gravi carenze aziendali nello sviluppo corretto del proprio software e nell’effettuare test approfonditi del sito.
McAfee ha annunciato martedì che la maggior parte delle vulnerabilità sono state risolte, ad eccezione di alcune per le quali è necessario mettere temporaneamente offline l’intero sito web.
Ad ogni modo, McAfee non è l’unica ad avere problemi di sicurezza sul proprio sito. Il mese scorso è stata segnalata una vulnerabilità di tipo cross-site scripting sul sito Symantec e a febbraio un hacker rumeno ha sostenuto di essere riuscito a lanciare attacchi di cross-site scripting e di SQL injection per aprirsi un varco sui siti di F-Sicure, Kaspersky e BitDefender. Come per dire che proprio non ci si può fidare di nessuno…
Cinzia Barletta
FaceSaerch.com le faccie online!
13 anni fa
Avete mai sentito parlare di facesaerch.com?
no? beh neanche io fino a pochi minuti fa!
con FaceSaerch potete ricercare appoggiandosi sul noto motore di ricerca per le immagini di google (images.google.it), le faccie dei vostri autori, cantanti, atleti preferiti!
per fare un esempio: Lebron James Chissà magari un giorno diventando famosi anche voi potrete finire lassù 
e se non la vostro foto, magari il vostro nome? perchè no? guardate qui! eh già! sapete di cosa si tratta? e bene è proprio un’XSS (Cos’è l’Xss?)
Risiede proprio nell’unica variabile di ricerca presente sul portale “q=” che sta per query…
http://www.facesaerch.com/facesearch/?q=
Dopo aver letto la nostra pagina dedicata alle XSS saprete come sfruttarla 
Commenti