<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<META NAME="Generator" CONTENT="MS Exchange Server version 6.5.7652.5">
<TITLE>Bug on web site of Italian Bank</TITLE>
</HEAD>
<BODY>
<!-- Converted from text/plain format -->

<P><FONT SIZE=2>-=[--------------------ADVISORY-------------------]=-<BR>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<BR>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Italian Bank<BR>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<BR>
&nbsp; Author: CorryL&nbsp;&nbsp;&nbsp; [corryl80@gmail.com]&nbsp;&nbsp;<BR>
-=[-----------------------------------------------]=-<BR>
<BR>
<BR>
<BR>
-=[+] Bug type:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Cross-Site Script &amp; Sql Injection<BR>
-=[+] Exploitation:&nbsp;&nbsp; Remote<BR>
-=[-]<BR>
-=[+] Author:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; CorryL&nbsp; ~ corryl80[at]gmail[dot]com ~<BR>
-=[+] Reference:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <A HREF="http://corryl.altervista.org/">http://corryl.altervista.org/</A><BR>
-=[+] Msn:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; corryl[at]sitoverde[dot]com<BR>
-=[+] Irc Chan:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; irc.darksin.net #x0n3-h4ck&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<BR>
<BR>
<BR>
..::[ Descriprion ]::..<BR>
<BR>
Hi,<BR>
during one personal search of mine on the sites web of the Italian banking.<BR>
I have realized that in many sites, above all those in Asp and PHP, that are affections<BR>
from bug type cross site script and sql injection, this is to point out the scarce one<BR>
knowledge in subject safety computer science of the planners.<BR>
<BR>
The banks affettes from these bugs are described following:<BR>
<BR>
Cassa di Risparmio di Volterra (SQL Injection)<BR>
Banca CArim (XSS)<BR>
Cassa di Risparmio di Alessandria (XSS &amp; Sql Injection)<BR>
BNL (Sql Injection)<BR>
Banca Intesa (XSS)<BR>
Home Banking Banca CR Firenze (XSS)<BR>
<BR>
My search not and' still ended.<BR>
<BR>
For further information on my site, are present the relative screenshots:<BR>
<BR>
<BR>
<A HREF="http://corryl.altervista.org">http://corryl.altervista.org</A><BR>
<BR>
Regards.<BR>
<BR>
Corrado Liotta&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; A.k.a (CorryL)<BR>
Admin xoned Italian Security Team<BR>
Email: corryl80@gmail.com<BR>
Msn: corryl@sitoverde.com<BR>
<A HREF="http://www.xoned.net">http://www.xoned.net</A><BR>
<A HREF="http://corryl.altervista.org/">http://corryl.altervista.org/</A><BR>
irc.darksin.net #xoned<BR>
Specialist in:<BR>
Bug Hunting<BR>
Security Audits<BR>
Penetration Test</FONT>
</P>

</BODY>
</HTML>