Stefano Novelli » vulnerabilità http://www.stefano9lli.com Il software è come il sesso, è meglio quando è libero. (Linus Torvald) Thu, 06 May 2010 09:33:45 +0000 http://wordpress.org/?v=2.9.2 en hourly 1 MyMovies più efficace degli ospedali italiani http://www.stefano9lli.com/2009/03/02/mymovies-piu-efficace-degli-ospedali-italiani/ http://www.stefano9lli.com/2009/03/02/mymovies-piu-efficace-degli-ospedali-italiani/#comments Mon, 02 Mar 2009 19:26:19 +0000 Stefano Novelli http://www.stefano9lli.com/?p=261 logomymovies_5_1
Segnalo a MyMovies.it una vulnerabilità XSS nel loro campo di ricerca . Il Form inviava ad una pagina la nostra searchword che veniva stampata dentro una input text ; il $_GET non veniva controllato ed era possibile iniettare qualunque codice per web .

La falla è stata riparata in 30 min, considerando lettura della mail, verifica del codice, ricerca della stringa e inserimento di un eventuale htmlentities() o quel che sia e riupload nell’FTP potrebbero sembrare troppi, ma essendo le 14.30 non credevo davvero che qualcuno fosse davanti il piccì a lavorare .

tmp_c4d9u

Bella sorpresa per gli utenti di MyMovies.it e complimenti a Filippo Gini .

(l’articolo è stato posticipato di qualche ora per permettere  allo staff di mymovies di fixare anche la pagina http://www.mymovies.it/database/ )

]]> http://www.stefano9lli.com/2009/03/02/mymovies-piu-efficace-degli-ospedali-italiani/feed/ 3