Paypal 2 года не мог закрыть XSS уязвимость на Web сайте

image

Теги: Netcraft, XSS

Крис Марлоу пытался предупредить PayPal об обнаруженной уязвимости еще в июне 2004 года,   но представитель PayPal, с которым он общался, не понимал что такое XSS уязвимость.

В прошлом месяце компания Netcraft сообщила о наличии XSS уязвимости в сайте PayPal, которая активно использовалась против пользователей платежной системы. Однако, как оказалось, уязвимость в странице пожертвования для временно отстраненных пользователей, была обнаружена еще 2 года назад. 

Крис Марлоу пытался предупредить PayPal об обнаруженной уязвимости еще в июне 2004 года,   но представитель PayPal, с которым он общался, не понимал что такое XSS уязвимость. Так как политика компании запрещает раскрывать адреса электронной почты сотрудников, Крис не смог продемонстрировать возможность эксплуатации уязвимости. В результате Крис раскрыл подробности уязвимости на своем Web сайте, однако PayPal никак  не отреагировал на эту публикацию.

Уязвимость была исправлена лишь в прошлом месяце после того, как компания Netcraft сообщила о попытках обмана пользователей PayPal с помощью этой уязвимости. Однако, как стало известно securitylab.ru, до сих пор существует несколько незакрытых уязвимостей межсайтового скриптинга в сайте PayPal, например:
www.paypal.com/cgi-bin/webscr?cmd=p/gen/--></script><script>alert('www.securitylab.ru')</script>

или введите имя

CAPTCHA