Комментарии 31
Парни из Пентагона настолько суровы, что им глубоко пофиг…
use noscript, Luke
Тут бы акцент не на XSS, а на том, что у них получилось увести куки с помощью XSS и эти куки вообще что-то дали (они смогли с ними авторизоваться).
сейчас подправлю ;)
Где прувы? Нашли XSS и выдали скрины XSS. Дали бы скрины админки, тогда уж. Имхо треш, позерство и шум из-за ничего 8)
Китайские хакеры на столько суровы, что ломают пентагон без ддоса.
Похоже что XSS все еще работает, но все alert тупо заменяют на void(0)
Хомяков расстроится что это был не он :)
в ходе операции #opBlackSummer.У кого-то уже лето? :(
А как увели куки?
странно, почему заминусовали.
Действительно, вопрос очень важный — что толку от этого alert? как увели куку у администратора? Как его заставили зайти по этой ссылке?
Потом еще один момент, на скрине видно, что используется asp.net, который по умолчанию все куки шифрует и не факт, что если склонировать куку, то сервер пустит в закрытые разделы.
Действительно, вопрос очень важный — что толку от этого alert? как увели куку у администратора? Как его заставили зайти по этой ссылке?
Потом еще один момент, на скрине видно, что используется asp.net, который по умолчанию все куки шифрует и не факт, что если склонировать куку, то сервер пустит в закрытые разделы.
Прочитав "(и к чему это привело)", открывал пост, ожидая увидеть фото избитого автора на фоне бравых парней — админов 87 левела из Пентагона.
Разочарован, честно говоря ;)
Разочарован, честно говоря ;)
Авианосец плавает обычно в составе ударной группы по веской причине и во имя великой цели:
$fXss = FindXss ()
$fSqlInj = FindSQLHack ()
func $oil = download oil
func $demos = build democracy
// func $hack = find hackers
// not need
If $fXss or $fSqlInj {
send USS_George_Washington_carrier_strike_group ($oil, $demos)
}
$fXss = FindXss ()
$fSqlInj = FindSQLHack ()
func $oil = download oil
func $demos = build democracy
// func $hack = find hackers
// not need
If $fXss or $fSqlInj {
send USS_George_Washington_carrier_strike_group ($oil, $demos)
}
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Reflected XSS на поддомене Пентагона (и к чему это привело)