dodany: 28.05.2013 | tagi: , , , ,

Autor:

PayPal płaci hakerom, gdy znajdą błąd. Nie uznał błędu, który znalazł 17-latek

12

PayPal ma lukę XSS. Firmę powiadomił o tym nastoletni haker. PayPal tego nie uznał.

Jest nim Robert Kugler – 17-letni uczeń z Niemiec, który interesuje się bezpieczeństwem systemów komputerowych.

W wiadomości do SecLists.Org, opublikowanej 24 maja, napisał:

Chciałbym was ostrzec – PayPal.com ma lukę podatną na ataki Cross-site scripting*. PayPal Inc. ma uruchomiony program typu bug bounty [przyp. red. – program, za pomocą którego hakerzy mogą zgłaszać znalezione przez siebie błędy, a PayPal im za to zapłaci]. Obejmuje on też podatności XSS. Dlatego postanowiłem (…) wysłać informację o błędzie do Site Security PayPala.

Więcej informacji o programie Bug Bounty.

W e-mailu nastolatek określił miejsce, gdzie się znajduje błąd i jak może zostać wywołany – przesłał też screen:  http://picturepush.com/public/13144090.

Niestety – PayPal nie uznał jego odkrycia. I nie zapłacił młodemu hakerowi.

Site Security PayPala twierdzi, że:

Aby zakwalifikować się do Bug Bounty Program, nie można: (…) mieć mniej niż 18 lat. Jeśli PayPal odkryje, że researcher nie spełnia powyższych kryteriów, PayPal usunie go z BBP i zdyskwalifikuje, przez co nie będzie mógł on otrzymywać zapłaty za znalezienie podatności.

PayPal chce zaoszczędzić? Nastoletni haker nie zarzuca tego amerykańskiej firmie. Stwierdził jedynie, że odrzucenie wyników jego testów to

 nie najlepszy sposób motywowania badaczy bezpieczeństwa.

 

*Cross-site scripting (XSS) – sposób ataku na serwis WWW polegający na osadzeniu w treści atakowanej strony kodu (zazwyczaj JavaScript), który wyświetlony innym użytkownikom może doprowadzić do wykonania przez nich niepożądanych akcji. Skrypt umieszczony w zaatakowanej stronie może obejść niektóre mechanizmy kontroli dostępu do danych użytkownika.

Źródło: pl.wikipedia.org

SecLists.Org – to serwis, który prowadzi Gordon Lyon – jego pseud. internetowy to Fyodor – ekspert bezpieczeństwa sieciowego i oprogramowania open source, a także pisarz i hacker w dobrym tego słowa znaczeniu (zobacz jego bio w Wikipedii). Publikuje na nim informacje, które dotyczą bezpieczeństwa i programów open source’owych dostępnych w Internecie, których źródłem są jego własne spostrzeżenia powstające przy tworzeniu programów, książek, artykułów, stron WWW i innych projektów.

avatar
Redaktorka WebSecurity.pl
Portal WebSecurity.pl zna od podszewki. O bezpieczeństwie sieciowym pisze z przerwami od 2009 roku. Publikowała w OsNews.pl i Dzienniku Internautów. Najbardziej interesuje ją tematyka bezpiecznego korzystania z komputera i sieci w domu i w pracy. Lubi tak dużo rzeczy, że długo by wymieniać.

12 odpowiedzi na “PayPal płaci hakerom, gdy znajdą błąd. Nie uznał błędu, który znalazł 17-latek”

  1. avatar PayPal Adder napisał(a):

    Good post. I was checking continually this website and i’m satisfied! Helpful information specifically the remainder of the sections :) I personally cope with this sort of information much. I had been in search of this particular information for any pretty lengthy period. Appreciate it and finest involving success.

  2. avatar download napisał(a):

    Really nice post. I recently found your current website plus needed to declare that I have definitely loved surfing around your web site discussions. Whatever the case I’ll be following to your give food to and I’m praying you’re posting yet again very soon!

  3. You can unquestionably visit skills within the get the job done you’re. The planet wants a lot more enthusiastic writers just like you who aren’t frightened to say that feel. Often adhere to ones soul.

  4. It truly is truly a terrific and also helpful piece of data. My business is glad that you just embraced this beneficial facts along with us. Make sure you remain all of us informed in this way. Thanks for discussing.

  5. avatar get free paypal money napisał(a):

    naturally such as your web-site and you should look at the spelling about numerous of your discussions. A number of them usually are filled along with punctuation difficulties and that i believe it is quite bothersome frankly even so I’m going to definitely are available yet again once again.

  6. avatar Paypal Ripper napisał(a):

    I’m gone to convey mmy little brother, thhat he should also
    go to see tthis web site on regular basis to obtain updated from hottest news.

  7. avatar camper mieten napisał(a):

    My partner and I absolutely love your blog and find nearly

    all of your post’s to be exactly I’m looking for.

    can you offer guest writers to write content for yourself?

    I wouldn’t mind writing a post or elaborating

    on a lot of the subjects you write with regards to here.

    Again, awesome site!

  8. avatar Public-infor napisał(a):

    It’s actually a great as well as handy item of information. My business is fulfilled that you embraced this useful information and facts along with us. Remember to stop us current like this. Thank you spreading.

  9. avatar visit website napisał(a):

    I enjoy the beneficial information and facts anyone supply in your posts. We’ll take note of your blog post and look into once more here frequently. I am pretty sure I will become familiar with quite a few brand new information below! All the best ! for one more!

  10. We’ve been a bunch of volunteers along with establishing the latest structure inside our online community. Your internet site offered us all using practical facts in order to works of art about. You will have completed any strong career in addition to each of our full neighborhood will probably be fortunate for you.

  11. I can’t be aware the way I found themselves in this article, even so imagined that organize once was great. I’m not sure who seem to you will be on the other hand absolutely you will definitely your well-known writer discover by now. Cheers!

  12. avatar local gamble site napisał(a):

    Hey there. I uncovered ones blog page the application of live messenger. Now you have an incredibly wisely created content. I’ll be guaranteed to book mark the item are available returning to get more info within your beneficial data. Appreciate the actual post. I am going to unquestionably comeback.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *