Reflected XSS на поддомене Пентагона (и к чему это привело)



    Хакерами из Tunisian Cyber Army и Al Qaida Electronic Army была обнаружена reflected XSS на поддомене сайта Пентагона, а именно на поддомене Национальной Гвардии: g1arng.army.pentagon.mil/Pages/Default.ASPX.

    С ее помощью они смогли украсть куки администратора сайта и получить доступ к его почте и нескольким критичным файлам. Этот взлом был осуществлен при содействии китайских хакеров, в ходе операции #opBlackSummer.





    Уже не первый раз сайты Пентагона страдают от хакеров, но тем не менее реакция администраторов Пентагона довольно таки вялотекуща: вчера Sabari Selvan выслал им подробности уязвимости, но она и поныне там.

    Также, по непроверенным данным, в рамках той же операции #opBlackSummer был скомпрометирован ГосДеп США — state.gov — с помощью sql injection.

    На момент публикации поста XSS все еще присутствует.

    Вдруг кто-то пропустил — эпохальная статья о XSS на хабре:
    http://habrahabr.ru/post/149152/

    Похожие публикации

    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 31

      +11
      Парни из Пентагона настолько суровы, что им глубоко пофиг…
        +1
        А может собирают инфу:))
          +3
          Угу, пробьют адрес по ай-пи и пришлют авианосец.
            +3
            XSS? Высылаем авианосец!
              0
              Перед началом выдвижения авианосца ударная группировка читает вот этот учебник:

              +3
              HoneyPot
            +1
            это же америка! они так сотрудников набирают.
              +2
              +1
              use noscript, Luke
                +1
                Тут бы акцент не на XSS, а на том, что у них получилось увести куки с помощью XSS и эти куки вообще что-то дали (они смогли с ними авторизоваться).
                  0
                  сейчас подправлю ;)
                    0
                    Оо нашел на Вашем сайте свою урезанную/слегка переписанную статью про AXFR
                      0
                      Ответил в личку ;)
                      Ссылка есть на Ваш сервис прямо там же.
                    +3
                    Где прувы? Нашли XSS и выдали скрины XSS. Дали бы скрины админки, тогда уж. Имхо треш, позерство и шум из-за ничего 8)
                      +1
                      Согласен) Таких пачку XSS можно слить и на наших гос. сайтах)
                      Я просто оттолкнулся от того, что в новости заявили.
                    +4
                    Китайские хакеры на столько суровы, что ломают пентагон без ддоса.
                      0
                      Похоже что XSS все еще работает, но все alert тупо заменяют на void(0)
                      –1
                      Хомяков расстроится что это был не он :)
                        0
                        в ходе операции #opBlackSummer.
                        У кого-то уже лето? :(
                        • НЛО прилетело и опубликовало эту надпись здесь
                          +2
                          А как увели куки?
                            +2
                            странно, почему заминусовали.
                            Действительно, вопрос очень важный — что толку от этого alert? как увели куку у администратора? Как его заставили зайти по этой ссылке?
                            Потом еще один момент, на скрине видно, что используется asp.net, который по умолчанию все куки шифрует и не факт, что если склонировать куку, то сервер пустит в закрытые разделы.
                            +3
                            Прочитав "(и к чему это привело)", открывал пост, ожидая увидеть фото избитого автора на фоне бравых парней — админов 87 левела из Пентагона.

                            Разочарован, честно говоря ;)
                              0
                              Напомнило:
                              “Отчет Mandiant APT1 попадает в СМИ”
                              image
                                0
                                Авианосец плавает обычно в составе ударной группы по веской причине и во имя великой цели:

                                $fXss = FindXss ()
                                $fSqlInj = FindSQLHack ()

                                func $oil = download oil
                                func $demos = build democracy

                                // func $hack = find hackers
                                // not need

                                If $fXss or $fSqlInj {
                                send USS_George_Washington_carrier_strike_group ($oil, $demos)
                                }

                                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                Самое читаемое