Il blog di Andrea Giuliani
La sicurezza dei siti web è un prerogativa per tutti quei siti bancari e molto frequentati. Tuttavia non sempre questi siti sono completamente sicuri. A volte succede che per errore, o per distrazione dei programmatori, interi sistemi informatici che dovrebbero essere protetti possano essere utilizzati da dei truffatori.
In questi giorni ho scoperto una vulnerabilità sul sito della nota compagnia American Express, che, come molti sanno gestisce varie tipologie di carte di credito.
In un server di American Express risiede uno script jsp che permette il redirect ad una pagina anche esterna al dominio di americanexpress.com. In pratica un url di questo tipo:
In questo caso vi apparirà la pagina principale di questo blog. Ovviamente funziona alla stesssa maniera anche un url codificato come il seguente:
In questo modo è più difficile da interpretare, sopratutto per un occhio poco esperto.
Questa vulnerabilità potrebbe essere sfruttata da dei truffatori che creando una copia del sito originale di American Express e spedendo delle mail con il collegamento malevolo potrebbero convincere alcune persone a cliccare sul link e quindi venire reindirizzati nel sito truffa. Se la vittima eseguisse il login il truffatore avrebbe tutti i dati per la gestione remota di una carta American Express.
Questo post è stato scritto grazie all’aiuto di Vincenzo Ampolo che mi ha fornito informazioni tecniche, supporto, e si è occupato del security advisory che è stato prontamente spedito all’American Express. Su suo blog troverete pubblicato lo stesso articolo.
Tags:American Express sicurezza vulnerabilitàCiao! Mi chiamo Andrea Giuliani e questo è il mio blog, contenitore di notizie su tecnologia, sicurezza informatica, sistemi operativi e ambiente.
Barbara
Dicembre 4th, 2006 at 7:49 pm
Non sono cliente AE però accidenti…per fortuna l’avete scoperto voi …speriamo non altri meno onesti nel frattempo
SecuriTeam Blogs » Phishing vulnerability reported at American Express site
Dicembre 6th, 2006 at 12:55 am
Pingback da SecurityTeam Blogs
Fortuna
Dicembre 6th, 2006 at 11:21 pm
Non è l’unica defalliance di Amex. Intanto, il pin è di sole 4 cifre e poi, nelle lettere mensili con l’estratto conto, accanto all’indirizzo, c’è tanto di numero carta per esteso. Tenendo conto che parecchi cittadini, per situazioni oggettive, hanno la cassetta delle lettere fronte strada, giudicate voi. Cordiali saluti
Os-Blog
Dicembre 11th, 2006 at 12:29 pm
[…] e Vincenzo. Nessun Commento Lascia un commento RSS feed dei commenti a questo articolo. TrackBack URI Lascia uncommento […]
Bug nel sito di American Express risolto » Begeek
Dicembre 13th, 2006 at 10:36 pm
[…] Un certo Andrea Giuliani ha segnalato giorni fa grave bug presente nel sito di American Express, un bug che poteva essere sfruttato da dei truffatori che creando una copia del sito originale di American Express e spedendo delle mail con il collegamento malevolo avrebbero potuto convincere alcune persone a cliccare sul link e quindi venire reindirizzati nel sito truffa. Il bug è stato finalmente risolto e la sicurezza di milioni di utenti adesso è meno in pericolo! Questo ragazzo fa faville… Social bookmarking:These icons link to social bookmarking sites where readers can share and discover new web pages. […]
Otto portali di Banche italiane vulnerabili - Andrea Giuliani
Dicembre 18th, 2006 at 7:18 am
[…] Otto portali di Banche italiane vulnerabili Lunedì, 18 Dicembre, 2006 A distanza di una settimana dalla scoperta di un bug sul sito di American Express, la coppia Giuliani-Ampolo si è di nuovo messa al lavoro individuando nuove vulnerabilità su otto siti web di importanti Istituti di Credito italiani. […]