Websecurity - Веб безпека

Минулого місяця компанія Netcraft повідомила про наявність XSS уразливості на сайті PayPal, що активно використовувалася проти користувачів платіжної системи. Однак, як виявилося, уразливість на сторінці пожертвування для тимчасово відсторонених користувачів, була виявлена ще 2 роки тому.

Кріс Марлоу намагався попередити PayPal про виявлену уразливість ще в червні 2004 року, але представник PayPal, з яким він спілкувався, не розумів що таке XSS уразливість. В зв’язку з тим, що політика компанії забороняє розкривати адреси електронної пошти співробітників, Кріс не зміг продемонструвати можливість експлуатації уразливості. У результаті Кріс розкрив подробиці уразливості на своєму веб сайті, однак PayPal ніяк не відреагував на цю публікацію.

Уразливість була виправлена лише минулого місяця після того, як компанія Netcraft повідомила про спроби обману користувачів PayPal за допомогою цієї уразливості. Однак, як стало відомо, дотепер існує декілька незакритих уразливостей міжсайтового скриптінга на сайті PayPal.

XSS:

paypal.com/cgi-bin/webscr?cmd=p/gen/–></script><script>alert(’websecurity.com.ua’)</script>

По матеріалам http://www.securitylab.ru.

P.S.

До речі, не тільки PayPal не звертає уваги на уразливості в себе на сайті. Як я писав, і про Cross-Site Scripting на Яндексі (який не пофіксений вже майже два місяці) та Cross-Site Scripting на Рамблері (4 XSS які я два дні тому знайшов і до сих пір їх не виправили).

This entry was posted on 19:30 24.07.2006 and is filed under Уразливості, Новини. You can follow any responses to this entry through the RSS 2.0 feed.