Falhas de Cross Site Scripting em sites do Governo Americano

Hoje a Wired Security divulgou uma lista com vulnerabilidades de Cross Site Scripting (XSS) em sites governamentais (47) e militares (8) americanos.

Publicaram inclusive um "Top 4":

• Place 1 goes to: cia.gov
• Place 2 goes to: gmao.gsfc.nasa.gov
• Place 3 goes to: cdmrp.army.mil
• Place 4 goes to: www.onr.navy.mil

Interessante o "Disclaimer" postado juntamente com os exemplos de exploração das vulnerabilidades nos sites - em que é clara a intenção de manter o espírito "full disclosure" e ao mesmo tempo tenta-se fugir da responsabilidade / diminiuir a gravidade da divulgação pública das falhas (grifo meu):

"All shown vulnerabilities can be found by using the corresponding web site in a legal way. All links are published for educational purposes only and not to harm anything or anybody. All used techniques are well known for many years and can be considered state-of-the-art. Though it is obvious, that the shown vulnerabilities can be used for fraudulent purpose anonymously."

Para detalhes técnicos sobre XSS, sugiro o tópico na OWASP e o FAQ da CgiSecurity.