XSS su Oknotizie, nessuna risposta

È inutile molti di quelli che contatto non mi rispondono, eppure una vulnerabilità che porta ad un attacco XSS non è poi tanto da sottovalutare…

Forse hanno molti avvisi a cui rispondere, ho inserito la settimana scorsa un avviso tramite

Provo a mandare una mail diretta ad una degli sviluppatori, dato che ho visto un post sul blog di Gianni Amato relativo a gli sviluppatori di Oknotizie, lo trovate qui: http://www.gianniamato.it/2007/01/incontro-ravvicinato-del-terzo-tipo.html

Ecco il testo della mail che ho inviato oggi (11/02/2007)

Salve mi scusi il disturbo,
l’ho contattata perchè ho trovato il suo indirizzo email nel codice javascript di Oknotizie.
Quindi ho immaginato che lei sia uno degli sviluppatori del portale. Volevo informarla che nel sito è possibile effettuare un attacco di tipo XSS, eccone qui un esempio: http://link di esempio non disponibile

Basta passare con il mouse sopra al link per attivare l’alert.

L’ho disturbata perchè avevo già inviato un avviso tramite il form di contatto presente nel portale ma senza ottenere nessuna risposta. Spero che lei possa fare qualcosa di più per sistemare il tutto.

Advisory originale: http://www.orebla.it/forum/bug-xss-su-oknotizie-vt444.html

Distinti Saluti
Luca Melloni (alias Orebla)
webmaster of www.orebla.it 


Speriamo che sia la volta buona…..

About Mello

Facente funzione di farsi i cazzi suoi!
This entry was posted in Security Center. Bookmark the permalink.

2 Responses to XSS su Oknotizie, nessuna risposta

  1. Orebla says:

    Perfetto, dopo neanche un’ora già ho avuto una risposta!
    Già patchato!

  2. Johna555 says:

    you are in point of fact a just right webmaster. The site loading velocity is amazing. It sort of feels that you are doing any distinctive trick. Furthermore, The contents are masterpiece. you’ve performed a magnificent process in this subject! eadcbbgcbcgc

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *