PayPal устранил опасную XSS-уязвимость на своем сайте




В июне текущего года исследователь уязвимостей под именованием Ибрагим Хегази, живущий в Египте, смог найти очень страшный баг на одной из страничек интернет-веб-сайта всемирно знакомой платежной налаженности PayPal. Прошло два месяца - за этот срок PayPal счастливо устранила предоставленную уязвимость, а египетский исследователь приобрел разрешение на публикацию элементов принесенного бага.

Ежели же копнуть поглубже, то государь Хегази отыскал не что другое, как XSS-уязвимость (межсайтовый скриптинг). Но в этом и вся соль: для больших компаний, сходственно PayPal, наличие схожих незащищенностей - непростительная ошибка. Настоящий баг размещался по адресу securepayments.paypal.com. Вся заковырка кроется в том, что сервисы южноамериканской платежной налаженности употребляют вышеуказанную страничку для проведения платежей, но не собирают и не берегут какие-или частные платежные сведения. Оттого постоянно вызывает наличие экспертов, чтобы потом не дошло к сходственным неловким причинам.

PayPal устранил опасную XSS-уязвимость на своем сайте


Исследователь заявляет, что для удачного заполучения предоставленных юзеров PayPal довольно водилось сотворения подставного онлайн-магазина либо употребления хоть какого будущего, предварительно счастливо его взломав. Вся фишка имелась в замене URL-адреса клавиши "Оплатить покупку" на измененный разновидности

securepayments.paypal.com/fakepage?param=XSS


В итоге мы лицезреем, что можнож водилось заменить все содержимое страничек securepayments.paypal.com, выслать покупателя на подставной, внушающий доверие (другими словами, фишинговый) страничку и тем либо другим методом принудить его ввести близкие платежные либо индивидуальные сведения. Понятное процесс, что все введенные сведения оставались у злодея. Ежели же двигаться далее, то можнож водилось изменять сумму платежа на случайное значение, генеральное, чтоб на карте покупателя хватило денег. Все эти элемента исследователь из Египта записал на видео и выложил на YouTube:



Как мы теснее черкали выше, брешь имелась замечена в июне этого года, но имелась устранена едва в точке этого августа. За обнаружение предоставленной уязвимости египтянину водилось выплачено итого 750 баксов США, сообразно "расценкам прайса" вознаграждения за уязвимости. Это может показаться немного за разысканный баг в таковой большой денежной компании, но, к раскаянию, это заблаговременно оговоренный максимум по договорам программы вознаграждений PayPal.



Дата: 15-06-2017, 01:20 Категория: Новости ИТ Комментариев: 632