È inutile molti di quelli che contatto non mi rispondono, eppure una vulnerabilità che porta ad un attacco XSS non è poi tanto da sottovalutare…
Forse hanno molti avvisi a cui rispondere, ho inserito la settimana scorsa un avviso tramite
Provo a mandare una mail diretta ad una degli sviluppatori, dato che ho visto un post sul blog di Gianni Amato relativo a gli sviluppatori di Oknotizie, lo trovate qui: http://www.gianniamato.it/2007/01/incontro-ravvicinato-del-terzo-tipo.html
Ecco il testo della mail che ho inviato oggi (11/02/2007)
Salve mi scusi il disturbo,
l’ho contattata perchè ho trovato il suo indirizzo email nel codice javascript di Oknotizie.
Quindi ho immaginato che lei sia uno degli sviluppatori del portale. Volevo informarla che nel sito è possibile effettuare un attacco di tipo XSS, eccone qui un esempio: http://link di esempio non disponibile
Basta passare con il mouse sopra al link per attivare l’alert.
L’ho disturbata perchè avevo già inviato un avviso tramite il form di contatto presente nel portale ma senza ottenere nessuna risposta. Spero che lei possa fare qualcosa di più per sistemare il tutto.
Advisory originale: http://www.orebla.it/forum/bug-xss-su-oknotizie-vt444.html
Distinti Saluti
Luca Melloni (alias Orebla)
webmaster of www.orebla.itÂ
Speriamo che sia la volta buona…..
Perfetto, dopo neanche un’ora già ho avuto una risposta!
Già patchato!
you are in point of fact a just right webmaster. The site loading velocity is amazing. It sort of feels that you are doing any distinctive trick. Furthermore, The contents are masterpiece. you’ve performed a magnificent process in this subject! eadcbbgcbcgc