На портале Министерства транспорта США обнаружены три критические уязвимости

image

Теги: взлом, хакер, США

Участники хакерской группировки «The Wiki Boat Brazil» предоставили POC-код для проведения CSRF атаки на ресурс.

Согласно сообщению представителей группы хакеров, называющих себя «The Wiki Boat Brazil», им удалось обнаружить три критические уязвимости на web-сайтах Министерства транспорта (Department of Transportation, DoT) США.

Как следует из сообщения на портале группировки, такие web-сайты, как dot.gov, environment.fhwa.dot.gov и fhwa.dot.gov могут быть скомпрометированы посредством проведения CSRF-атаки, SQL-инъекции и XSS-атаки. Кроме того, хакеры опубликовали в открытом доступе часть данных, похищенных с ресурса itsdeployment.its.dot.gov.

«The Wiki Boat Brazil» также предоставили различные POC-коды, в том числе для осуществления CSRF-атаки, которая позволяет удаленному злоумышленнику сделать обычного пользователя администратором ресурса, если действующий администратор пройдет по специально сформированной ссылке.

http://www.environment.fhwa.dot.gov/strmlng/searchresults.asp?id=1&keyword=&StateSelect=%3Ccenter%3E%3Cimg%20src=%22http://4.bp.blogspot.com/-uTsGOMJD3js/TpzEs5S9tVI/AAAAAAAAArc/tXoUEwWH0Cc/s1600/aprendiz.jpg%22%20/%3E%3Ch1%3ETheWikiBoatBrazil%3C/h1%3E%3C/center%3E&ShowNewPractices=&CategorySelect=all&startrow=1&ResultsSelect=10&ShowDescription=true&print=&InnovativePract= 

На момент публикации новости код работал. 

Напомним, что несколькими днями ранее «The Wiki Boat Brazil» провели ряд успешных атак на порталы Министерства финансов и федеральной полиции Франции. POC-код для проведения XSS-атаки на бразильский Центральный Банк bcb.gov.br был опубликован на сервисе Pastebin.  


или введите имя

CAPTCHA
ыть!
30-10-2012 14:15:17
не понятно зачем это делать? ну взломали, ну разместили картинку.. а вообще - спасибо, поржал
0 |
Greg
31-10-2012 15:27:15
На самом деле очень много американских гос. сайтов содержит критические уязвимости. Мы (одна из компаний в области безопасности) раньше сами отправляли им уведомления о нарушении целостности, но никто (вообще никто) не отреагировал. Если тут имеются компании сотрудничающие с гос. конторами в глобальном масштабе, то будем рады предоставить найденные уязвимости, для последующего их устранения.
0 |