Dic 04 2007
Mai essere pigri… XSS in massimo-caselli.com (Tema Connections)
Come tanti programmatori ho il difetto con i “progetti interni” di essere pigro… un po’ come i dentisti che hanno i denti cariati e i calzolai che vanno in giro con le scarpe rotte…
… ma essere pigri nel web di oggi può esporre a vulnerabilità e problemi.
Ho ricevuto ieri una mail da una persona (che ringrazio) in cui mi segnalava un XSS sulla ricerca del mio blog.
In effetti ero fermo alla versione 2.1.x di Wordpress (se non erro. Dopo averlo ringraziato ho provveduto ad aggiornare WP all’ultima release stabile ma il problema permaneva…
Il tutto era sostanzialmente dovuto alla versione del tema che usavo (almeno in quella specifica versione):
Connections da Vanillamist.com
Invito quindi chiunque avesse questo tema ad aggiornarlo e a provare una cosa del genere:
http://www.mioblog.com/index.php?s=%3Cscript%3Ealert%28%22ciaociao+is+here%22%29%3C%2Fscript%3E&submit=Cerca
Se leggete un alert “ciaociao is here” siete vulnerabili…
Un saluto. Maxgrante
info[AT]massimo-caselli[DOT]com