.jpg "Reflected XSS на поддомене Пентагона (и к чему это привело)")
Хакерами из Tunisian Cyber Army и Al Qaida Electronic Army была обнаружена reflected XSS на поддомене сайта Пентагона, а именно на поддомене Национальной Гвардии: g1arng.army.pentagon.mil/Pages/Default.ASPX.
С ее помощью они смогли украсть куки администратора сайта и получить доступ к его почте и нескольким критичным файлам. Этот взлом был осуществлен при содействии китайских хакеров, в ходе операции #opBlackSummer.
-2.jpg "Reflected XSS на поддомене Пентагона (и к чему это привело)")
Уже не первый раз сайты Пентагона страдают от хакеров, но тем не менее реакция администраторов Пентагона довольно таки вялотекуща: вчера Sabari Selvan выслал им подробности уязвимости, но она и поныне там.
Также, по непроверенным данным, в рамках той же операции #opBlackSummer был скомпрометирован ГосДеп США — state.gov — с помощью sql injection.
На момент публикации поста XSS все еще присутствует.
Вдруг кто-то пропустил — эпохальная статья о XSS на хабре:
http://habrahabr.ru/post/149152/
Автор: exitusletaris
