Комментарии 31
Парни из Пентагона настолько суровы, что им глубоко пофиг…
+11
use noscript, Luke
+1
Тут бы акцент не на XSS, а на том, что у них получилось увести куки с помощью XSS и эти куки вообще что-то дали (они смогли с ними авторизоваться).
+1
сейчас подправлю ;)
0
Где прувы? Нашли XSS и выдали скрины XSS. Дали бы скрины админки, тогда уж. Имхо треш, позерство и шум из-за ничего 8)
+3
Китайские хакеры на столько суровы, что ломают пентагон без ддоса.
+4
Похоже что XSS все еще работает, но все alert тупо заменяют на void(0)
0
Хомяков расстроится что это был не он :)
-1
в ходе операции #opBlackSummer.У кого-то уже лето? :(
0
А как увели куки?
+2
странно, почему заминусовали.
Действительно, вопрос очень важный — что толку от этого alert? как увели куку у администратора? Как его заставили зайти по этой ссылке?
Потом еще один момент, на скрине видно, что используется asp.net, который по умолчанию все куки шифрует и не факт, что если склонировать куку, то сервер пустит в закрытые разделы.
Действительно, вопрос очень важный — что толку от этого alert? как увели куку у администратора? Как его заставили зайти по этой ссылке?
Потом еще один момент, на скрине видно, что используется asp.net, который по умолчанию все куки шифрует и не факт, что если склонировать куку, то сервер пустит в закрытые разделы.
+2
Прочитав "(и к чему это привело)", открывал пост, ожидая увидеть фото избитого автора на фоне бравых парней — админов 87 левела из Пентагона.
Разочарован, честно говоря ;)
Разочарован, честно говоря ;)
+3
Авианосец плавает обычно в составе ударной группы по веской причине и во имя великой цели:
$fXss = FindXss ()
$fSqlInj = FindSQLHack ()
func $oil = download oil
func $demos = build democracy
// func $hack = find hackers
// not need
If $fXss or $fSqlInj {
send USS_George_Washington_carrier_strike_group ($oil, $demos)
}
$fXss = FindXss ()
$fSqlInj = FindSQLHack ()
func $oil = download oil
func $demos = build democracy
// func $hack = find hackers
// not need
If $fXss or $fSqlInj {
send USS_George_Washington_carrier_strike_group ($oil, $demos)
}
0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Reflected XSS на поддомене Пентагона (и к чему это привело)