Torniamo nella nostra rubrica dedicata alla "sicurezza", quest'oggi vogliamo parlarvi di un argomento che negli ultimi 10 anni è stato scarsamente trattato dalle varie testate di news specializzate ovvero i Cross-site scripting (XSS). Si tratta di una vulnerabilità che affligge i siti web dinamici che impiegano un insufficiente controllo dell'input nei form. (more...)

Continua a leggere XSS: JavaScript e App Single Page aumentano in rischio

Categoria: Sicurezza

Donncha Ó Caoimh ha rilasciato una nuova versione di WP Super Cache, popolare plug-in per il caching dei contenuti su siti basati su WordPress. L'estensione è in grado di velocizzare sensibilmente l’accesso alle pagine, ma è spesso anche responsabile dell’apertura di falle di sicurezza. (more...)

Continua a leggere WP Super Cache, nuova versione per un bug XSS

Categoria: CMS

I ricercatori di Zscaler hanno scoperto l’esistenza di una nuova vulnerabilità Cross-Site Scripting (XSS) nel codice di WordPress, un baco che è già attivamente sfruttato da ignoti cyber-criminali per rubare credenziali di accesso ai siti Web basati sul popolare CMS. (more...)

Continua a leggere WordPress, nuova vulnerabilità XSS

Categoria: CMS

Tags: ,

Il team di WordPress ha rilasciato un nuovo aggiornamento minore della popolare piattaforma CMS, un update, WordPress 4.2.1, definito critico e necessario a chiudere una vulnerabilità di sicurezza potenzialmente molto pericolosa. (more...)

Continua a leggere WordPress 4.2.1 corregge una falla critica

Categoria: CMS

Tags: ,

WordPress 4.0.1 è una versione di sicurezza a cui gli sviluppatori del progetto consigliano di migrare tutte le installazioni attualmente in fase di produzione; nello specifico, i siti che supportano gli aggiornamenti automatici in background verranno aggiornati a questo rilascio nel corso delle prossime ore, ma sono stati realizzati degli aggiornamenti anche per alcune release precedenti. (more...)

Continua a leggere WordPress 4.0.1 Security Release

Categoria: CMS

In attesa di Drupal 8, protagonista di un lunghissimo coming soon che ha portato ad inizio luglio al rilascio della tredicesima Alpha e ad un'ulteriore implementazione del progetto Drupal Commerce in versione 2.x, il team del progetto ha recentemente aggiornato i due rami di sviluppo attualmente supportati; motivo per il quale sono ora disponibili Drupal 7.29 e Drupal 6.32, entrambe delle maintenance releases. (more...)

Continua a leggere Drupal 7.29 e 6.32 maintenance releases

Categoria: CMS

Tags: , ,

H5SC è il nome di un progetto promosso da Cure53 sulla piattaforma per l'hosting e la condivisione delle risorse per sviluppatori GitHub; esso ha l'obiettivo di mettere a disposizione un HTML5 Security Cheatsheet liberamente accessibile attraverso il quale trovare riferimenti per incrementare il livello di sicurezza generale della proprie Web applications. (more...)

Continua a leggere HTML5 Security Cheatsheet contro gli attacchi XSS

Categoria: Sicurezza

Michaeldaw.org, blog dedicato alla sicurezza, riporta un'interessante riassunto grafico (riprodotta solo parzialmente in questo post) riguardante tutte le minacce che possono gravare su un sito Web (ma anche su un server) quando qualche malintenzionato si interessa al codice delle nostre pagine e viene preso dall'insano desiderio di buttarle giù. (more...)

Continua a leggere Tutti i rischi per il vostro CMS

Categoria: CMS

di

Tutto è iniziato con una segnalazione: Daniele Fogazzi (lo conoscemmo già  per il caso Rasbank) ci comunica di una falla scoperta sul sito della Banca di Roma. Una apposita pagina viene pubblicata online per spiegare i dettagli, ma l'indirizzo non viene reso noto: la falla è stata segnalata dal Fogazzi alla banca e si attendono notizie. Il sottoscritto, pur non avendo la possibilità  di verificare direttamente il tutto, segnala alla banca la scoperta con tanto di dettagli, per rimanere poi in attesa di notizie. Esito: nessuna informazione da parte della banca, ma la falla risulta essere stata risolta. Lo comunica Daniele in giornata. Noi abbiamo fatto nulla, ma se tutto è andato per come lo si può raccontare, allora un grazie a qualcuno da parte della Banca di Roma sarebbe quantomeno opportuno. Questione di cortesia.

Continua a leggere Cronaca di una falla: questione di cortesia

Categoria: Sicurezza

Tags: , ,

Non sono un super-esperto di sicurezza, ma, per quel che ricordo, mai un problema di vulnerabilità  era stato collegato ai CSS.La storia è quella del bug di Internet Explorer che secondo l'isrealiano Matan Gillon potrebbe mettere seriamente a repentaglio la sicurezza di dati sensibili presenti sul PC di un utente che usi il browser di Microsoft in combinazione con Google Desktop 2. Ne parlano, tra gli altri, Yahoo! News, InfoWorld e Punto Informatico.Provando a caricare la pagina dell'exploit messa a punto da Gillon con diversi browser, si capisce subito che IE è l'unico ad essere vulnerabile a questo tipo di attacco che il programmatore israeliano ha definito CSSXSS (Cascading Style Sheets Cross Site Scripting).In sintesi, Internet Explorer è troppo permissivo quando si tratta di gestire l'importazione di file esterni con la direttiva @import o con la funzione Javascript addImport. Entrambe sono destinate, come molti sanno, all'inclusione di file CSS, ma il browser di Microsoft, in certe condizioni, non chiude le porte come dovrebbe di fronte a codice non CSS.Vi rimando all'advisory pubblicato da Gillon per ulteriori, interessanti dettagli tecnici.

Continua a leggere Anche i CSS sono un pericolo (su IE)

Categoria: Sicurezza