Хакеры обнаружили уязвимости в межсайтовом скриптинге на веб-портале
Министерства обороны Великобритании.
Эта недоработка в системе безопасности предоставляет хулиганам и
злоумышленникам возможность подставлять контент с подконтрольного им ресурса во
всплывающем окне, источником которого будет казаться сайт Министерства обороны.
Данная разновидность утечек в системе безопасности является критической в сфере
электронной коммерции и онлайн-банкинга, поскольку она позволяет проводить более
правдоподобные фишинговые атаки. В случае же с сайтом Министерства обороны для
этих дыр лучше всего подойдет характеристика "постыдные". Среди уязвимых
разделов веб-сайта оказалась поисковая система по контрактам МО, а также
страница поиска, связанная с престижным военным училищем сухопутных войск
Сандхерст.
Уязвимости на веб-сайте военных продемонстрировала хакерская группировка "Team
Elite", которая в свое время нашла аналогичные дыры на сайтах Всемирной
организации здравоохранения и разведслужбы MI5. Команда хакеров уведомила
Министерство о своей находке, после чего опубликовала информацию о ней.
Руководство по этим уязвимостям (включая скриншоты) можно найти
здесь.
По информации сайта XSSed, еще одна XSS-уязвимость, связанная с одним из
поддоменов портала МО, была обнаружена в прошлом году.