Информационные технологииStfw.Ru 🔍

Paypal 2 года не мог закрыть XSS уязвимость на Web сайте

🕛 24.07.2006, 10:22
В прошлом месяце компания Netcraft сообщила о наличии XSS уязвимости в сайте PayPal, которая активно использовалась против пользователей платежной системы. Однако, как оказалось, уязвимость в странице пожертвования для временно отстраненных пользователей, была обнаружена еще 2 года назад.

Крис Марлоу пытался предупредить PayPal об обнаруженной уязвимости еще в июне 2004 года, но представитель PayPal, с которым он общался, не понимал что такое XSS уязвимость. Так как политика компании запрещает раскрывать адреса электронной почты сотрудников, Крис не смог продемонстрировать возможность эксплуатации уязвимости. В результате Крис раскрыл подробности уязвимости на своем Web сайте, однако PayPal никак не отреагировал на эту публикацию.

Уязвимость была исправлена лишь в прошлом месяце после того, как компания Netcraft сообщила о попытках обмана пользователей PayPal с помощью этой уязвимости. Однако, как стало известно securitylab.ru, до сих пор существует несколько незакрытых уязвимостей межсайтового скриптинга в сайте PayPal, например:
www.paypal.com/cgi-bin/webscr?cmd=p/gen/-></script><script>alert('www.stfw.ru')</script>

Новости безопасности   Теги: Xss

Читать IT-новости в Telegram
Информационные технологии
Мы в соцсетях ✉