Vulnerabilità su Altervista: Siti web in hosting a rischio
Zone-H ha riscontrato alcune vulnerabilità su Altervista (http://www.altervista.org), noto provider di spazi web gratuiti. Le vulnerabilità, di tipo XSS (Cross-Site Scripting), possono essere sfruttate da un utente malevolo per rubare il cookie di sessione della vittima ed aver accesso al pannello di amministrazione del sito web in hosting.
Il riconoscimento della sessione di amministrazione è infatti basato sul valore contenuto nel cookie, o in alternativa sul valore del parametro 'sid' passato allo script lf.pl.
Esempio:
http://sx.altervista.org:8080/lf.pl?sid=yyyyyy dove sx.altervista.org ( con x variabile da 1 a 18 ) è uno dei 18 server di altervista su cui sono in hosting i vari siti web. Dato che ogni pagina di amministrazione fa riferimento ad uno specifico server, un attaccante deve conoscere anche quale sia il server che ospita il sito web della vittima. Per conoscere quale sia il server di riferimento per il sito della vittima è sufficiente confrontare l'indirizzo IP di "sito_vittima.altervista.org" con quello dei rispettivi server ( da s1.altervista.org a s18.altervista.org). In alternativa l'attaccante potrebbe far uso di una tecnica un po' più "brutale" dove induce l'utente a visitare una pagina web malevola che fa uso di multipli iframe, ognuno dei quali tenta l'attacco XSS verso i vari sx.altervista.org ed invia il cookie risultante all'attacker.
Nel caso il sito della vittima sia su s4.altervista.org, un possibile vettore di attacco che sfrutta il XSS nella pagina di amministrazione è il seguente:
Nota: Il contenuto dell' URL può essere anche opportunamente offuscato.
Le metodologie per sfruttare il XSS ai danni della vittima vanno dalla più classica, che fa uso di email create ad arte, ai forum o siti web malevoli (magari in hosting su Altervista). Ovviamente il tutto è valido solo nel caso la vittima sia loggata su Altervista.
Un altro cross-site scripting è stato riscontrato nel motore di ricerca interno di altervista presente all'indirizzo:
In tal caso l'impatto della falla si riduce nella possibilità di effettuare attacchi di tipo phishing ai danni degli utenti di Altervista.
Un ultimo appunto va anche fatto su come Altervista gestisce la sessione di amministrazione. Come detto in precedenza il riconoscimento della sessione di amministrazione si basa sul valore del parametro "sid" contenuto nel cookie, o nell'URL. In quest'ultimo caso poichè nella pagina di amministrazione sono presenti dei banner che rimandano a siti web di terzi, questi potrebbero essere a conoscenza del "sid" dell'utente grazie al fatto che un click sul banner porta a fare una richiesta HTTP GET con il campo Refer dell'header HTTP che contiene l'URL della pagina di amministrazione con relativo 'sid'. Dato che il refer logging è abilitato di default nella maggior parte dei browser questo comportamento potrebbe rappresentare un ulteriore problema per la sicurezza e la privacy degli utenti di Altervista.
I problemi riscontrati sono stati segnalati ad Altervista, ma al momento non abbiamo ricevuto alcuna risposta da parte loro.
In attesa che la vulnerabilità sia corretta consigliamo agli utenti di Altervista di effettuare sempre il logout prima di visitare siti web non fidati, o di cliccare su link presenti nelle email dal contenuto apparentemente affidabile.