Just read on Wired: Finnish Harry Sintonen reported a cross-site scripting vulnerability on CIA's web site.
The article has been published yesterday, the bug is not fixed yet... I can't believe secret service über-geeks do not read their logs: it must be a sneaky honey pot to convict hax0rs, dangerous Wired readers and possibly open source terrorists!

Actually, I could see quite a number of gaping XSS holes just on that search page which, as you can notice, is served through HTTPS, making it an excellent phishing hook.
I wonder if there's also a reserved area (e.g. a CMS) somewhere on the same domain (cookies, yum!)

Even if it's classified information, Wired itself revealed that attacks of this kind fail if you use Firefox + NoScript.
Am I already an Al-Qaeda target?

2 Responses to “CIA Operation Ponies”

  1. #1 Hackare il sito CIA si può « Simply Security says:

    [...] Era irresistibile la tentazione che si è parata di fronte agli editor del blog di Wired Threat Level: la vulnerabilità di tipo cross-site scripting, segnalata da un lettore, affliggeva il sito di CIA da tempo. Pare che gli amministratori del sito dell’agency non se ne siano minimamente preoccupati: a fronte degli ondivaghi polveroni sollevati dalle istituzioni per richiamare l’attenzione sulla sicurezza, non è mai stata messa una pezza al problema, potenzialmente grave. [...]

  2. #2 Hackare il sito CIA si può « YouStrong™ says:

    [...] Era irresistibile la tentazione che si è parata di fronte agli editor del blog di Wired Threat Level: la vulnerabilità di tipo cross-site scripting, segnalata da un lettore, affliggeva il sito di CIA da tempo. Pare che gli amministratori del sito dell’agency non se ne siano minimamente preoccupati: a fronte degli ondivaghi polveroni sollevati dalle istituzioni per richiamare l’attenzione sulla sicurezza, non è mai stata messa una pezza al problema, potenzialmente grave. [...]

Bad Behavior has blocked 787 access attempts in the last 7 days.