Artykuły dotyczące tematu: hacker

dodany: 28.05.2013 | tagi: , , , ,

PayPal płaci hakerom, gdy znajdą błąd. Nie uznał błędu, który znalazł 17-latek

12

PayPal ma lukę XSS. Firmę powiadomił o tym nastoletni haker. PayPal tego nie uznał.

Jest nim Robert Kugler – 17-letni uczeń z Niemiec, który interesuje się bezpieczeństwem systemów komputerowych.

W wiadomości do SecLists.Org, opublikowanej 24 maja, napisał:

Chciałbym was ostrzec – PayPal.com ma lukę podatną na ataki Cross-site scripting*. PayPal Inc. ma uruchomiony program typu bug bounty [przyp. red. – program, za pomocą którego hakerzy mogą zgłaszać znalezione przez siebie błędy, a PayPal im za to zapłaci]. Obejmuje on też podatności XSS. Dlatego postanowiłem (…) wysłać informację o błędzie do Site Security PayPala.

Więcej informacji o programie Bug Bounty.

W e-mailu nastolatek określił miejsce, gdzie się znajduje błąd i jak może zostać wywołany – przesłał też screen:  http://picturepush.com/public/13144090.

Niestety – PayPal nie uznał jego odkrycia. I nie zapłacił młodemu hakerowi.

Site Security PayPala twierdzi, że:

Aby zakwalifikować się do Bug Bounty Program, nie można: (…) mieć mniej niż 18 lat. Jeśli PayPal odkryje, że researcher nie spełnia powyższych kryteriów, PayPal usunie go z BBP i zdyskwalifikuje, przez co nie będzie mógł on otrzymywać zapłaty za znalezienie podatności.

PayPal chce zaoszczędzić? Nastoletni haker nie zarzuca tego amerykańskiej firmie. Stwierdził jedynie, że odrzucenie wyników jego testów to

 nie najlepszy sposób motywowania badaczy bezpieczeństwa.

 

*Cross-site scripting (XSS) – sposób ataku na serwis WWW polegający na osadzeniu w treści atakowanej strony kodu (zazwyczaj JavaScript), który wyświetlony innym użytkownikom może doprowadzić do wykonania przez nich niepożądanych akcji. Skrypt umieszczony w zaatakowanej stronie może obejść niektóre mechanizmy kontroli dostępu do danych użytkownika.

Źródło: pl.wikipedia.org

SecLists.Org – to serwis, który prowadzi Gordon Lyon – jego pseud. internetowy to Fyodor – ekspert bezpieczeństwa sieciowego i oprogramowania open source, a także pisarz i hacker w dobrym tego słowa znaczeniu (zobacz jego bio w Wikipedii). Publikuje na nim informacje, które dotyczą bezpieczeństwa i programów open source’owych dostępnych w Internecie, których źródłem są jego własne spostrzeżenia powstające przy tworzeniu programów, książek, artykułów, stron WWW i innych projektów.