Vulnérabilité XSS pour l'agence roulaine du développement régional

Dans le post précédent sur le piratage de la police roumaine, je concluais par "à qui le tour?". Cette fois ci c'est à l'agence pour le développement de la région Nord-Est de Roumanie de passer à la casserole.

Une faille XSS toute bête présente dans la barre de recherche, qui permet de faire un peu tout ce que l'on veut (alerte, iframe, ...) :


Egalement possible une injection iframe ("><iframe src="http://news-of-security.blogspot.com"></iframe>) ou des actions sur le code HTML même de la page (">document.body.inner.HTML="<<style>body{visibility:hidden; background: black;}<</style><<div style="visibility:visible;><<br><<h1><<font color="red">Salut les Zouzous<</h1><</font><<br>)

Du classique, du simple, mais qui peut très vite amener à des actions de phishing (entre autre) sur le partenaire de l'agence.