Reflected XSS на поддомене Пентагона (и к чему это привело)

Хакерами из Tunisian Cyber Army и Al Qaida Electronic Army была обнаружена reflected XSS на поддомене сайта Пентагона, а именно на поддомене Национальной Гвардии: g1arng.army.pentagon.mil/Pages/Default.ASPX ^[1].

С ее помощью они смогли украсть куки администратора сайта и получить доступ к его почте и нескольким критичным файлам. Этот взлом был осуществлен при содействии китайских хакеров, в ходе операции #opBlackSummer.

Уже не первый раз сайты Пентагона страдают от хакеров, но тем не менее реакция администраторов Пентагона довольно таки вялотекуща: вчера Sabari Selvan выслал им подробности уязвимости, но она и поныне там.

Также, по непроверенным данным, в рамках той же операции #opBlackSummer был скомпрометирован ГосДеп США — state.gov — с помощью sql injection.

На момент публикации поста XSS все еще присутствует.

Вдруг кто-то пропустил — эпохальная статья о XSS на хабре:
http://habrahabr.ru/post/149152/ ^[2]

Автор: exitusletaris

Источник ^[3]