Несовершеннолетний студент опубликовал уязвимость нулевого дня в PayPal

17-летний студент из Германии Роберт Куглер (Robert Kugler) обнаружил на сайте paypal.com уязвимость нулевого дня, позволяющую осуществлять атаку межсайтового скриптинга. Куглер сообщил о найденной бреши в рамках программы вознаграждения за обнаруженные уязвимости. Тем не менее, в заслуженном вознаграждении ему было отказано, поскольку студент не достиг 18-летнего возраста.

Роберт Куглер опубликовал обнаруженную уязвимость на seclists.org. Уязвимость обнаружена в функции поиска и может быть вызвана следующим javascript-кодом: ';alert(String.fromCharCode(88,83,83))//';alert(String.fromCharCode(88,83,83))//";

alert(String.fromCharCode(88,83,83))//";alert(String.fromCharCode(88,83,83))//--

</SCRIPT>">'><SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT>

«К сожалению, PayPal отказалась выплачивать мне вознаграждение, поскольку мне 17 лет… Я не утверждаю, что такая экономия средств является ошибкой, однако, это не лучшая идея, если вы заинтересованы в мотивации хороших исследователей» - заявил Куглер в своем сообщении.