Вчера появилось сообщение об обнаружении XSS уязвимости на сайте Чилийского RedBank

Товарищ искал, судя по всему LFI, но нашел XSS, хотя не спорю, выглядит оно именно как LFI :)

Сама уязвимость:

http://www.redbanc.cl/portal_redbanc/browse?pagina=<script>alert(‘XSS’);</script>

Оригинальная страница:

http://www.redbanc.cl/portal_redbanc/browse?pagina=portal_redbanc/inicio.htm

Источник:

http://blog.zerial.org/seguridad/vulnerabilidad-cross-site-scripting-xss-en-sitio-web-de-redbanc/

По настоящего момента уязвимость не была устранена, видимо в администраторы Чили не читают Full-Disclusure. Или там вообще нет администраторов…

Интересно, сколько будет стоить фишинг на такой странице через XSS, по сравнению, скажем, с 226млн. $ на SQL инъекцию.