На этой неделе стало известно о наличии на сайте Пентагона незакрытой XSS-уязвимости. Два возможных сценария атаки на нее опубликовал исследователь из Румынии, скрывающийся под ником “Ne0h”.

Выложенные им скрипты предназначены для эксплуатации бреши в разделе “Туры”, расположенном на веб-сайте американского военного ведомства.

Впрочем, не один из эксплоитов не позволяет получить доступ к какой бы то ни было важной информации, поскольку данный раздел используется исключительно с целью предоставления информации, необходимой при посещении штаб-квартиры Министерства обороны США. Тем не менее, успешная реализация атаки может причинить вред посетителям ресурса.

В частности, пользователи могут стать жертвами инъекции iFrame или JavaScript , сделать которую можно из-за недостаточно строгой процедуры проверки в приложении для создания фотоальбомов на сайте.


Автор эксплоитов пишет, что в том случае, если брешь не закроют, ее можно будет использовать для того, чтобы перенаправлять пользователей на вредоносные ресурсы, используя для этого ссылку, которая будет выглядеть как ссылка на сайт Пентагона. По его словам, подобные уязвимости встречаются в веб-приложениях очень часто, поэтому такие крупные порталы, как у военных, должны их закрывать.


Представитель Министерства обороны США от комментариев по данному поводу отказался.