Участники хакерской группировки «The Wiki Boat Brazil» предоставили POC-код для проведения CSRF атаки на ресурс.
Согласно сообщению представителей группы хакеров, называющих себя «The Wiki Boat Brazil», им удалось обнаружить три критические уязвимости на web-сайтах Министерства транспорта (Department of Transportation, DoT) США.
Как следует из сообщения на портале группировки, такие web-сайты, как dot.gov, environment.fhwa.dot.gov и fhwa.dot.gov могут быть скомпрометированы посредством проведения CSRF-атаки, SQL-инъекции и XSS-атаки. Кроме того, хакеры опубликовали в открытом доступе часть данных, похищенных с ресурса itsdeployment.its.dot.gov.
«The Wiki Boat Brazil» также предоставили различные POC-коды, в том числе для осуществления CSRF-атаки, которая позволяет удаленному злоумышленнику сделать обычного пользователя администратором ресурса, если действующий администратор пройдет по специально сформированной ссылке.
http://www.environment.fhwa.dot.gov/strmlng/searchresults.asp?id=1&keyword=&StateSelect=%3Ccenter%3E%3Cimg%20src=%22http://4.bp.blogspot.com/-uTsGOMJD3js/TpzEs5S9tVI/AAAAAAAAArc/tXoUEwWH0Cc/s1600/aprendiz.jpg%22%20/%3E%3Ch1%3ETheWikiBoatBrazil%3C/h1%3E%3C/center%3E&ShowNewPractices=&CategorySelect=all&startrow=1&ResultsSelect=10&ShowDescription=true&print=&InnovativePract=
На момент публикации новости код работал.
Напомним, что несколькими днями ранее «The Wiki Boat Brazil» провели ряд успешных атак на порталы Министерства финансов и федеральной полиции Франции. POC-код для проведения XSS-атаки на бразильский Центральный Банк bcb.gov.br был опубликован на сервисе Pastebin.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале