Phishing, XSS
Oggi ho notato un messaggio-truffa nella mia casella di posta elettronica… curioso di testare la nuova funzionalità anti-phishing di firefox e google ho cliccato sul link; purtroppo il browser mi ha fatto accedere alla pagina taroccata senza dirmi nulla, ho cercato l’home page originale, ed ho constatato che sono identiche! Beh, non ci vuole molto a fare un copia/incolla… allora ho cercato il modo di segnalare il sito di phishing, semplicissimo! su firefox 3.0 (mi sembra anche nella versione 2) basta cliccare sul punto interrogativo, e poi su “segnala un sito contraffatto…” ed ecco fatta una fatta una buona azione! 
L’url del link nell’email apparteneva ad un dominio diverso da quello del sito contraffatto, quindi un occhio attento si accorge subito della truffa… ma bisogna stare attenti anche agli url di siti che conosciamo!
Può capitare che persone non troppo gentili con noi sfruttino BUG grossolani presenti nei siti per iniettare i loro contenuti dannosi o truffaldini… ecco alcuni esempi per farvi vedere che purtroppo non è così difficile trovare siti malfatti:
Io ho inserito semplicemente un iframe a tutto schermo che mostra il mio sito (da notare nella barra degli indirizzi l’url del sito originale)… ma si potrebbe anche mettere codice javascript col quale ad esempio “rubare” i cookie di qualcuno autentificato al sito per poi autentificarsi al suo posto…
Colleghi alle prese con sistemi informativi, stiamo attenti anche a queste cose (non so se all’esame le controllino e devo ammettere che per il mio progetto me ne sto fregando altamente visto è rimasto poco tempo, ma per siti “veri” queste attenzioni sono obbligatorie).
Non si arrabbino quelli che la sanno lunga per il tempo perso leggendo questo (per loro) inutile articolo, ma probabilmente qualcuno che non conosce questi problemi ancora c’è, e mi piacerebbe leggere un suo commento
Tag: firefox, google, phishing, XSS
13 luglio 2008 alle 19:37
bellishimo, bellishimo…Dai spiegalo meglio come inserire questa “iframe”.
ciau
13 luglio 2008 alle 20:00
uhm… non è complicato… quei due siti come metodo del form usano GET, quindi i parametri vengono passati tramite l’url…
se vai su http://ricerca.rai.it/RaiSearch.asp e cerchi "una cosa qualsiasi", poi nella pagina dei risultati troverai scritta anche la stringa "una cosa qualsiasi".
Siccome il programmatore asp non ha previsto l’escape dei caratteri speciali di html, se fai ricerche con i simboli >,<,’,", vedrai nel codice html quegli stessi simboli… quindi in pratica puoi inserire i tag html che vuoi…
La stringa cercata (esempio: "stringa"), nella pagina dei risultati viene stampata qui:
<input type="text" name="query" value ="stringa">
In quei due esempi io cerco
">[html]
in questo modo, l’html della pagina di destinazione sarà
<input type="text" name="query" value ="">[html]">
chiaro?
"> chiude il tag input, così posso iniziare un altro tag; l’ultimo "> viene ignorato dal browser (al browser non frega niente se la pagina sia valida o no, la mostra in ogni caso)
"sono stato spiegato?"
18 luglio 2008 alle 12:05
[ot] grazie per il consiglio sulle funzioni php, ho modificato il tema [/ot]