Сайт Министерства обороны Великобритании обошли с фланга при помощи уязвимостей в XSS
11.08.2009
Хакеры обнаружили уязвимости в межсайтовом скриптинге на веб-портале Министерства обороны Великобритании.
Эта недоработка в системе безопасности предоставляет хулиганам и злоумышленникам возможность подставлять контент с подконтрольного им ресурса во всплывающем окне, источником которого будет казаться сайт Министерства обороны. Данная разновидность утечек в системе безопасности является критической в сфере электронной коммерции и онлайн-банкинга, поскольку она позволяет проводить более правдоподобные фишинговые атаки. В случае же с сайтом Министерства обороны для этих дыр лучше всего подойдет характеристика "постыдные". Среди уязвимых разделов веб-сайта оказалась поисковая система по контрактам МО, а также страница поиска, связанная с престижным военным училищем сухопутных войск Сандхерст.
Уязвимости на веб-сайте военных продемонстрировала хакерская группировка "Team Elite", которая в свое время нашла аналогичные дыры на сайтах Всемирной организации здравоохранения и разведслужбы MI5. Команда хакеров уведомила Министерство о своей находке, после чего опубликовала информацию о ней.
По информации сайта XSSed, еще одна XSS-уязвимость, связанная с одним из поддоменов портала МО, была обнаружена в прошлом году.
