Alessandro Romani
2010-05-22 13:51:57 UTC
Ciao a tutta la lista,
per purissimo caso, mi sono accorto di questo:
GET
https://www.vodafone.it/190/trilogy/jsp/user.do?password=TUA_PASSWORD&username=TUO_USERNAME&method=login&ty_skip_md=true
HTTP/1.1
Host: www.vodafone.it
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; it-IT)
AppleWebKit/531.22.7 (KHTML, like Gecko) Version/4.0.5 Safari/531.22.7
Paros/3.2.13
Referer:
https://registrazione.vodafone.it/190/regu/chooseReminder.do?from=login&externalCall=true
Origin: https://registrazione.vodafone.it
Accept:
application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Language: it-IT
Connection: keep-alive
Proxy-Connection: keep-alive
Content-length: 0
Mi vengono in mente parecchie cose, ma una in particolare:
a che serve mettere l'HTTPS se poi passi il mio username e la mia
password in chiaro e in GET nella URL?
Ho notato, comunque, che questa URL viene "generata" soltanto quando si
fa il login dalla pagina
https://registrazione.vodafone.it/190/regu/chooseReminder.do?from=login&externalCall=true
che è la pagina a cui si viene rimandati dopo aver sbagliato il login
dalla pagina principale del sito.
Aggiungo inoltre che, se si inseriscono username e password corrette
nelle rispettive querystring della URL, viene, di fatto, permesso
l'accesso e pare che venga eseguita la procedura di autenticazione. Non
ho testato se, con un pò di caparbietà, si possa riuscire a bypassare il
login ed entrare nel profilo di qualsiasi utente solamente inserendo uno
username valido.
Spero che da Vodafone correggano questo bug il più sollecitamente possibile.
Alessandro Romani
Security Analyst
per purissimo caso, mi sono accorto di questo:
GET
https://www.vodafone.it/190/trilogy/jsp/user.do?password=TUA_PASSWORD&username=TUO_USERNAME&method=login&ty_skip_md=true
HTTP/1.1
Host: www.vodafone.it
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; it-IT)
AppleWebKit/531.22.7 (KHTML, like Gecko) Version/4.0.5 Safari/531.22.7
Paros/3.2.13
Referer:
https://registrazione.vodafone.it/190/regu/chooseReminder.do?from=login&externalCall=true
Origin: https://registrazione.vodafone.it
Accept:
application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Language: it-IT
Connection: keep-alive
Proxy-Connection: keep-alive
Content-length: 0
Mi vengono in mente parecchie cose, ma una in particolare:
a che serve mettere l'HTTPS se poi passi il mio username e la mia
password in chiaro e in GET nella URL?
Ho notato, comunque, che questa URL viene "generata" soltanto quando si
fa il login dalla pagina
https://registrazione.vodafone.it/190/regu/chooseReminder.do?from=login&externalCall=true
che è la pagina a cui si viene rimandati dopo aver sbagliato il login
dalla pagina principale del sito.
Aggiungo inoltre che, se si inseriscono username e password corrette
nelle rispettive querystring della URL, viene, di fatto, permesso
l'accesso e pare che venga eseguita la procedura di autenticazione. Non
ho testato se, con un pò di caparbietà, si possa riuscire a bypassare il
login ed entrare nel profilo di qualsiasi utente solamente inserendo uno
username valido.
Spero che da Vodafone correggano questo bug il più sollecitamente possibile.
Alessandro Romani
Security Analyst