Andrea Draghetti aka Drego. I analyze and contrast the Phishing at D3Lab and I'm team member of BackBox Linux! PhishingArmy and meioc is my projects!

Vulnerabilità sulla Fastweb MyFastPage

18 sec read

Emilio Pinna ha recentemente scoperto una vulnerabilità sulla MyFastPage di Fastweb di tipo XSS (Cross-site scripting), pertanto un malintenzionato potrebbe accedere al pannello di controllo di un utente Fastweb permettendoli di accedere alla Fastmail, al ContoOnLine, consultare e variare dati e recapiti personali , tabulati voce e internet, modificare le configurazioni del router casilingo, acquistare servizi aggiuntivi a carico degli utenti.

Emilio ha diffuso un PDF in cui viene spiegata dettagliatamente la vulnerabilità ed ha creato un POC per dimostrare la vulnerabilità XSS accessibile da questo collegamento.

Andrea Draghetti aka Drego. I analyze and contrast the Phishing at D3Lab and I'm team member of BackBox Linux! PhishingArmy and meioc is my projects!

6
Lascia un commento

Rispondi

  Subscribe  
più nuovi più vecchi più votati
Notificami
T3STY
Ospite
T3STY

Ciao Andrea, grazie mille per questo articolo!
Comunque, quando provo a cliccare un qualunque link nella pagina del POC, alla fine mi da sempre questo messaggio:
“Attenzione!! Il servizio richiesto non è disponibile.”
Posso correttamente dedurre che la vulnerabilità è stata corretta?

Emilio
Ospite

t3sty comunque continua a funzionare, e non ho ricevuto particolari segnalazioni di malfunzionamento. Dato che hanno disattivato qualche pannello e ne hanno attivato qualche altro (ho corretto nel POC) probabilmente hai cercato di accedere proprio a quelli già disattivati. Se hai tempo riprova e fammi sapere. 

Emilio
Ospite

@t3sty rispondo per andrea: ora nn sono a casa ma potrebbe essere, oggi ho contattato il responsabile della IT security e magari hanno corretto subito. Quando torno a casa provo e ti dico.

R00t_ati
Ospite
R00t_ati

Articolo
interessante, ma non è la prima volta che fastweb inciampa sulla buccia
di banana. A setttembre 2010 era uscito un articolo da
ihteam (http://www.ihteam.net/hacking-news/problemi-di-privacy-per-fastweb-italia/) nel quale veniva venina descritta una
vulnerabilità molto più semplice da sfruttare e applicabile in larga
scala.

trackback

[…] oversecurity.net Condividi in Facebook Buzz it up Tweet about it Abbonati ai commenti su questo articolo Stampa […]