На сайте Генпрокуратуры обнаружили XSS-уязвимость

«Не очень критическую, но неприятную» уязвимость обнаружил на сайте Генеральной прокуратуры Украины спикер Украинского Киберальянса, известный под ником Шон Таунсенд.

Об это пишет InternetUA.

XSS – тип уязвимости программного обеспечения, который позволяет атакующему внедрить клиентский сценарий в web-страницы, просматриваемые другими пользователями.

– А вот в Генеральной прокуратуре Украины сидят умники. Вместо того, чтобы правильно экранировать запросы, кто-то решил повыёживаться и проверить, не содержит ли запрос «недопустимые символы», но проверяет только первый. То, что вы видите на экране, называется XSS-уязвимость, не очень критичная, но неприятная. Передайте кто-нибудь прокурорским, чтобы починили, – написал спикер УКА.

Напомним, со второй половины 2017-года украинские хактивисты проводят акцию #fuckresponsibledisclosure, направленную на поиск и публичное раскрытие уязвимостей государственных информационных ресурсов с целью общественного влияния на уровень их безопасности. Около недели назад обнаружена XSS-уязвимость на сайте Государственного реестра избирателей ЦИК Украины, однако вместо благодарности ЦИК «наехала» на УКА.

За время проведения #frd хактивисты обнаружили и публично сообщили о нескольких десятках уязвимостей в информационных ресурсах и сетях государственных учреждений – в список попали Нацполиция, Энергоатом, CERT-UA, Пенсионный фонд и много других организаций.