Ciao a tutta la lista,
per purissimo caso, mi sono accorto di questo:
GET
https://www.vodafone.it/190/trilogy/jsp/user.do?password=TUA_PASSWORD&username=TUO_USERNAME&method=login&ty_skip_md=true
HTTP/1.1
Host: www.vodafone.it
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; it-IT)
AppleWebKit/531.22.7 (KHTML, like Gecko) Version/4.0.5 Safari/531.22.7
Paros/3.2.13
Referer:
https://registrazione.vodafone.it/190/regu/chooseReminder.do?from=login&externalCall=true
Origin: https://registrazione.vodafone.it
Accept:
application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Language: it-IT
Connection: keep-alive
Proxy-Connection: keep-alive
Content-length: 0
Mi vengono in mente parecchie cose, ma una in particolare:
a che serve mettere l'HTTPS se poi passi il mio username e la mia
password in chiaro e in GET nella URL?
Ho notato, comunque, che questa URL viene "generata" soltanto quando si
fa il login dalla pagina
https://registrazione.vodafone.it/190/regu/chooseReminder.do?from=login&externalCall=true
che è la pagina a cui si viene rimandati dopo aver sbagliato il login
dalla pagina principale del sito.
Aggiungo inoltre che, se si inseriscono username e password corrette
nelle rispettive querystring della URL, viene, di fatto, permesso
l'accesso e pare che venga eseguita la procedura di autenticazione. Non
ho testato se, con un pò di caparbietà, si possa riuscire a bypassare il
login ed entrare nel profilo di qualsiasi utente solamente inserendo uno
username valido.
Spero che da Vodafone correggano questo bug il più sollecitamente possibile.
Alessandro Romani
Security Analyst
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
