In passato abbiamo segnalato attacchi hacker al sito della provincia di Verbania, del comune di Crodo (prima smentito e poi "miracolosamente" corretto), e nuovamente alla provincia di Verbania, anche se in quest'ultimo caso, il problema è stato ignorato, e il sito continua a fare pubblicità a Viagra e Cialis, come si puo' verificare seguendo i link che abbiamo messo nell'articolo.
Questa volta però ci siamo dedicati a un sito ben più importante: BeppeGrillo.it.
Dopo numerose "segnalazioni" apparse in rete, ci siamo chiesti se quanto veniva detto fosse vero e se il sito avesse veramente dei problemi di sicurezza.
Ci siamo accorti che questa cosa era vera e abbiamo segnalato quanto trovato agli amministratori del sito stesso.
Era possibile, fino a settimana scorsa, fare quella che in gergo viene chiamata una HTML Script Injection, o più volgarmente, Cross-site scripting / XSS, sulla pagina delle Video Gallery.
In pratica, se qualcuno avesse voluto, avrebbe potuto creare una finta videogallery, inducendo i navigatori ai più svariati errori.
Wikipedia riporta alcune delle pratiche più famose di XSS
Tra le operazioni che è possibile indurre il browser ad eseguire vi sono l'invio del contenuto di cookie a terze parti e l'aggiunta di elementi (X)HTML alla pagina, operazione che può servire facilmente a sottrarre credenziali di autenticazione per mezzo di un modulo di inserimento contraffatto sovrapposto ad un modulo originariamente presente nella pagina web.
Grazie alla nostra segnalazione, il sito è stato corretto, e ora la Video Gallery non contiene più l'errore.
Come prova della segnalazione, riportiamo la schermata di quello che poteva essere fatto "prima" della nostra segnalazione, ed ora non è più possibile fare.