Vulnerabilità sulla Fastweb MyFastPage

Emilio Pinna ha recentemente scoperto una vulnerabilità sulla MyFastPage di Fastweb di tipo XSS (Cross-site scripting), pertanto un malintenzionato potrebbe accedere al pannello di controllo di un utente Fastweb permettendoli di accedere alla Fastmail, al ContoOnLine, consultare e variare dati e recapiti personali , tabulati voce e internet, modificare le configurazioni del router casilingo, acquistare servizi aggiuntivi a carico degli utenti.

Emilio ha diffuso un PDF in cui viene spiegata dettagliatamente la vulnerabilità ed ha creato un POC per dimostrare la vulnerabilità XSS accessibile da questo collegamento.

Correlati

6 giugno 2011/6 Commenti/da

T3STY

Ciao Andrea, grazie mille per questo articolo!
Comunque, quando provo a cliccare un qualunque link nella pagina del POC, alla fine mi da sempre questo messaggio:
“Attenzione!! Il servizio richiesto non è disponibile.”
Posso correttamente dedurre che la vulnerabilità è stata corretta?
- Emilio
  
  t3sty comunque continua a funzionare, e non ho ricevuto particolari segnalazioni di malfunzionamento. Dato che hanno disattivato qualche pannello e ne hanno attivato qualche altro (ho corretto nel POC) probabilmente hai cercato di accedere proprio a quelli già disattivati. Se hai tempo riprova e fammi sapere.
Emilio

@t3sty rispondo per andrea: ora nn sono a casa ma potrebbe essere, oggi ho contattato il responsabile della IT security e magari hanno corretto subito. Quando torno a casa provo e ti dico.
R00t_ati

Articolo
interessante, ma non è la prima volta che fastweb inciampa sulla buccia
di banana. A setttembre 2010 era uscito un articolo da
ihteam (http://www.ihteam.net/hacking-news/problemi-di-privacy-per-fastweb-italia/) nel quale veniva venina descritta una
vulnerabilità molto più semplice da sfruttare e applicabile in larga
scala.
- Andrea Draghetti
  
  Grazie della Segnalazione! 😉
Pingback: Vulnerabilità sulla Fastweb MyFastPage -ALLARME SICUREZZA-()

Potrebbero interessarti