Un Bug su Repubblica.it permette a chiunque di far visualizzare notizie false!
Pubblicato in Internet e Social Network, Personale
Immaginate che un qualsiasi estraneo alla redazione possa far visualizzare articoli e contenuti sul sito de La Repubblica, ora immaginate quali usi potrebbe farne, soprattutto a livello politico, e quali ne sarebbero le conseguenze. Una bufala diffusa utilizzando come strumento il sito Repubblica.it, quanti non la prenderebbero per vera? Tutto questo purtroppo è possibile, e occorre diffondere la notizia, sopratutto tra gli uteni meno esperti!
Qualche giorno fa navigando nel sito de LaRepubblica ho scoperto la presenza di una falla nell’area ricerca. Si tratta di un semplice bug di tipo XSS, ma che la cui presenza, su un sito così di rilievo, permetterebbe ad utenti malentinzionati di effettuare attacchi di phishing (truffe online) o di pubblicare notizie false che, se provenienti da un sito del genere, non ci metterebbero molto a fare il giro della rete come vere.
Andando ad effettuare una ricerca nel sito del quotidiano, la parola cercata viene passata alla pagina dei risultati tramite l’indirizzo, in questo modo:
http://ricerca.repubblica.it/repubblica?query=PAROLACERCATA&view=archivio
Andando a sostituire nell’indirizzo della pagina del codice html o javascript, al posto della parola cercata, questo verrebbe poi eseguito nella pagina dei risultati senza alcuna precauzione. Facendo in questo modo, inserendo il codice javascript opportuno nell’indirizzo, è possibile modificare totalmente la pagina dei risultati.
Chiunque sfruttando questo bug può ad esempio far comparire un annuncio del tipo “ATTENZIONE: dal prossimo mese Repubblica.it diventa a pagamento, clicca qui per abbonarti” truffando così i visitatori di Repubblica.it. O può addirittura far comparire notizie false spacciandole per vere. Basterebbe poi linkare la pagina di Repubblica modificata su Facebook o ad esempio su OkNotizie, e poi attendere che questa faccia il giro del mondo grazie all’effetto amplicatore della rete.
Dopo diverse prove sono riuscito, sfruttando il bug scoperto, a far visualizzare una notizia falsa su Repubblica.it:
Chi andrebbe a dubitare di una notizia, se l’url di provenienza fosse proprio http://ricerca.repubblica.it? L’utente medio ci sarebbe cascato in pieno!
Potete verificare voi stessi andando a questo indirizzo: http://ricerca.repubblica.it/repubblica?query=Berlusconi:%20Lascio%20la%20politica
%20-%20LaRepubblica.it%3C/title%3E%3C/head%3E%3Cbody%3E%3Cimg%20
src=http://www.valentinomarangi.com/larepubblica.jpg%3E%3
Cbr%3E%3Cbr%3E%3Cbr%3E%3C/body
%3E%3C/html%3E&view=archivio
Ho segnalato il problema alla redazione di Repubblica.it, ma non ho ricevuto alcuna risposta. Finché la falla non sarà corretta occhio alle notizie che vi linkano provenienti da Repubblica.it!
EDIT 5/09/2009 23.14: Richiamando file esterni dall’url adesso compare una pagina di errore (Errore 403), nessuna comunicazione ancora dalla redazione. Inserendo comunque del codice tramite l’url questo non viene ancora filtrato.
Ne parlano:
Dario Salvelli
Mauro Rubin su Plumfake
Massimo Mantellini su ManteBlog
Marco Montemagno su FriendFeed
Geekissimo
Andrea Sacchini
Pino Bruno
SetteB
Vittorio Pasteris
I diari dello scooter
Corriere del Mezzogiorno [Info]
Pazzo per Repubblica
Pensieri ad alta voce
A Tutto Blog
Hacker Journal n.185
MondoInformatico
Anti-Phishing Italia
a me non sembra fixato… continuo a vederlo
@Mauro Rubin: a me reindirizza sulla home!
In compenso c’è ancora quello sul modulo di ricerca che avevo segnalato
http://www.ricerca24.ilsole24ore.com/fc?keyWords=%3C%2Ftitle%3E%3Cscript+type%3D%22text
%2Fjavascript%22%3E+document.write%28%22%3Ccenter
%3E%3Cimg+src%3D%27http%3A%2F%2Fmedia.
ebaumsworld.com%2Fpicture%2Fdstructor%2FOwned.png
%27+%2F%3E%3C%2Fcenter%3E%22%29%3B+
%3C%2Fscript%3E%3Ctitle%3E&channelsId
=informazione%7Cborsa%7C47%7C33%7C30%7C
32%7C43%7C40%7C35&cmd=static&
chId=30&path=%2Fsearch%2Fsearch_engine.jsp
Ancora non è stato fixato, ho mandato anche l’email ma non ho ricevulo risposta.
Un Bug su Repubblica.it permette a chiunque di far visualizzare notizie false! http://ff.im/-8dezj
This comment was originally posted on Twitter
Ciao!
Complimenti, ottima trovata! Volevo comunicarti che sei apparso su Hacker Journal di oggi, anche se sembrerebbe da quanto scritto che hai violato i server e pubblicato una notizia in prima pagina xD
@Luca: ahahah si ho letto :D Ho scoperto per caso l’articolo su Hacker Journal grazie all’email di un lettore, grazie comunque per la segnalazione ;)
Beh interessante.. ;) casi analoghi ce ne sono un’infinità sul web.
sono stato truffato…. stavo comprando una macchina dal vostro sito perche pensavo fosse serio e invece mi hanno fregato 1600 euro come posso fare ora per rintracciarli?
About Me
24 anni. CEO di CheBuoni.it, l'aggregatore di operazioni a premio leader in Italia con 250mila utenti registrati e 1 milione di pagine viste al mese.
Qualcosa su di meQualche link
Articoli recenti
Ultimi Tweets
Commenti recenti