A volte ci capita di notare dei problemi di sicurezza su siti del nostro territorio.
In passato abbiamo segnalato attacchi hacker al sito della provincia di Verbania, del comune di Crodo (prima smentito e poi "miracolosamente" corretto), e nuovamente alla provincia di Verbania, anche se in quest'ultimo caso, il problema è stato ignorato, e il sito continua a fare pubblicità a Viagra e Cialis, come si puo' verificare seguendo i link che abbiamo messo nell'articolo.
Questa volta però ci siamo dedicati a un sito ben più importante: BeppeGrillo.it.
Dopo numerose "segnalazioni" apparse in rete, ci siamo chiesti se quanto veniva detto fosse vero e se il sito avesse veramente dei problemi di sicurezza.
Ci siamo accorti che questa cosa era vera e abbiamo segnalato quanto trovato agli amministratori del sito stesso.
Era possibile, fino a settimana scorsa, fare quella che in gergo viene chiamata una HTML Script Injection, o più volgarmente, Cross-site scripting / XSS, sulla pagina delle Video Gallery.
In pratica, se qualcuno avesse voluto, avrebbe potuto creare una finta videogallery, inducendo i navigatori ai più svariati errori.
Wikipedia riporta alcune delle pratiche più famose di XSS
Tra le operazioni che è possibile indurre il browser ad eseguire vi sono l'invio del contenuto di cookie a terze parti e l'aggiunta di elementi (X)HTML alla pagina, operazione che può servire facilmente a sottrarre credenziali di autenticazione per mezzo di un modulo di inserimento contraffatto sovrapposto ad un modulo originariamente presente nella pagina web.
Grazie alla nostra segnalazione, il sito è stato corretto, e ora la Video Gallery non contiene più l'errore.
Come prova della segnalazione, riportiamo la schermata di quello che poteva essere fatto "prima" della nostra segnalazione, ed ora non è più possibile fare.