Poste Italiane Corregge Le Falle

17 gennaio 2006 di Salvatore Aranzulla, in Scoperte di sicurezza informatica di Salvatore, Sicurezza informatica.

Qualche giorno fa ho pubblicato un articolo in cui facevo vedere come Poste Italiane presentava problemi di sicurezza nel proprio sito web. Ho inoltre evidenziato la possibilità di mettere in atto truffe on-line usando il sito originale (!) di Poste Italiane.

Nonostante vari tentativi, non ero riuscito a raggiungere alcun contatto tecnico in Poste Italiane a cui segnalare tali problematiche, limitandomi ad una segnalazione (cestinata?) al servizio clienti.

Luca, mio carissimo amico, che ringrazio, è riuscito però a mettermi in contatto con Postecom, la direzione di Poste Italiane che si occupa della realizzazione dei servizi on-line. Postecom ha corretto le falle, chiamandomi e facendomi i più sentiti complimenti per l’età.

Tuttavia, se nell’articolo precedente ho trattato – per motivi di sicurezza – esclusivamente le possibili conseguenze delle falle, può risultare utile capire dove si trovavano e come potevano essere applicate per realizzare una truffa on-line.

Ho realizzato questo filmato (richiede Divx) in cui faccio vedere come mettere in atto una truffa a tutti gli effetti.

SCARICA IL FILMATO IN CUI DIMOSTRO COME REALIZZARE UNA POSSIBILE TRUFFA

Tecnicamente parlando

Poste Italiane usa il seguente sistema di redirect, quando un cliente identificato al sistema vuole uscire dal proprio conto Banco Posta, portando l’utente nell’indirizzo indicato in goto.

https://bancopostaonline.poste.it/bpol/comuni/bpollogoff.asp?goto=
http://www.sito-internet.it

Non viene tuttavia effettuato alcun controllo sulla destinazione, che potrebbe essere costituita anche da un sito truffaldino, legittimato dalla prima parte dell’indirizzo, che riporta il sito originale. Da notare è anche la connessione cifrata (https).

L’indirizzo del sito truffaldino può essere anche proposto in un formato di difficile compresione, come in ASCII esadecimale preceduto dal segno di percentuale.

https://bancopostaonline.poste.it/bpol/comuni/bpollogoff.asp?goto=
%68%74%74%70%3A%2F%2F%77%77%77%2E%73%69
%74%6F%2D%69%6E%74%65%72%6E%65%74%2E%69%74

Questo sistema di redirect potrebbe essere usato per reindirizzare un utente su un sito esterno e truffaldino, ma i filtri anti-phishing bloccherebbero il sito truffaldino. Ho trovato invece un’altra falla, in un altro sito di Poste Italiane.

Il problema risiede nel sottodominio escrivimi.poste.it, dove è presente la pagina NavCategory.jsp. Nella pagina NavCategory.jsp, la variabile cat (NavCategory.jsp?cat=) non è filtrata permettendo l’inserimento di codice Javascript.

La falla nel sito di Poste Italiane

Inserendo opportuno codice Javascript è possibile modificare la pagina originale di Poste Italiane, creando un modulo uguale a quello di accesso al proprio conto Banco Posta, i cui dati però andrebbero a finire nelle mani dei truffatori.

Un indirizzo esemplificativo della falla è il seguente. Se si osserva il codice HTML della pagina, il testo della variabile cat viene inserito nell’indirizzo (src) dell’immagine. Per attuare il codice Javascript, viene inserito l’indirizzo di una immagine inesistente, che darà seguito all’evento onError.

http://escrivimi.poste.it/NavCategory.jsp?cat=tests%22%20onErro
r%3D”alert(’BUG’);//

Il codice HTML

Ricevi gratuitamente le mie guide via e-mail

Per ricevere via e-mail, dal lunedì al venerdì, le guide di informatica che pubblico, inserisci il tuo indirizzo e-mail:




Categorie