dodany: 28.11.2012 | tagi: , , ,

Autor:

XSS na PayPalu

5

W systemie PayPal odnaleziono poważną lukę, która umożliwia atak XSS. Odkrył ją zespół Vulnerability Laboratory Research Team. Błąd jest na tyle poważny, gdyż umożliwia zdalny atak wraz z wykonaniem złośliwego kodu. Udany atak pozwala na przejęcie sesji transakcji, a w gorszym wypadku nawet na kradzież konta.

Spreparowany przykładowy link nie jest skomplikowany – jako dowód wystarczyło dodać do adresu tak proste polecenie:

Oczywiście powyższy kod wyświetla wyłącznie informację „VulnerabilityLab”, aczkolwiek równie dobrze moglibyśmy zamieścić tam złośliwy skrypt. Na szczęście PayPal podszedł do problemu poważnie i usunął już lukę.

Niestety to nie była jedyna dziura odnaleziona przez niemiecki zespół badaczy. Braki w bezpieczeństwie znaleziono w webowej aplikacji PayPal Plaza.

Podobnie jak w powyższym przypadku, możliwe jest wstrzyknięcie złośliwego kodu. Problem leży konkretnie w 5 module aplikacji o nazwie eGreeting. Pełne wykorzystanie luki umożliwia na przejęcie sesji, phishing.

Przykładowy spreparowany mail z e-kartką wygląda następująco:

Oczywiście zamiast tekstu PERSISTENT INJECTED SCRIPT CODE OUTSIDE OF GREETINGSCARD ITSELF
można było umieścić dowolną treść. Można było, gdyż PayPal w tym wypadku także nie zbagatelizował problemu, szybko łatając lukę. Co prawda wspomniany problem nie dotyczył bezpośrednio  naszego kraju, gdyż serwis ten nie jest dostępny w naszym języku.

Redaktor działu aktualności WebSecurity.pl. Pasjonat komputerów od czasów epoki "bezmyszkowej".

5 odpowiedzi na “XSS na PayPalu”

  1. avatar 11mariom napisał(a):

    Chociaż nie udają jak to z Javą było, że "nie, przecież nie ma problemu" i później człowiek z zewnątrz łatał…

  2. avatar vizzdoom napisał(a):

    Trochę to czepialskie, ale paypal akurat jest dostępny w naszym języku.

  3. avatar Adam Wicherek napisał(a):

    Swoją drogą, każda firma/spółka/portal/wszystko-innego co operuje pieniędzmi powinno mieć otwarty program wynagrodzeń pieniężnych za znalezione błędy. Historia już nie raz pokazała, że takie rozwiązanie w pewnym stopniu się sprawdza.

  4. avatar BJHrl napisał(a):

    @vizzdoom-przeczytaj dokładnie o czym mowa – chodzi o usługę Paypal Plaza, a nie o same płatności Paypal…

  5. avatar Lucile napisał(a):

    My weblog … site (Lucile)

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *