Несовершеннолетний студент опубликовал уязвимость нулевого дня в PayPal

image

Теги: PayPal, уязвимость

Подросток опубликовал уязвимость после того, как ему было отказано в вознаграждении.

17-летний студент из Германии Роберт Куглер (Robert Kugler) обнаружил на сайте paypal.com уязвимость нулевого дня, позволяющую осуществлять атаку межсайтового скриптинга. Куглер сообщил о найденной бреши в рамках программы вознаграждения за обнаруженные уязвимости. Тем не менее, в заслуженном вознаграждении ему было отказано, поскольку студент не достиг 18-летнего возраста.

Роберт Куглер опубликовал обнаруженную уязвимость на seclists.org. Уязвимость обнаружена в функции поиска и может быть вызвана следующим javascript-кодом: ';alert(String.fromCharCode(88,83,83))//';alert(String.fromCharCode(88,83,83))//";

alert(String.fromCharCode(88,83,83))//";alert(String.fromCharCode(88,83,83))//--

</SCRIPT>">'><SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT>

«К сожалению, PayPal отказалась выплачивать мне вознаграждение, поскольку мне 17 лет… Я не утверждаю, что такая экономия средств является ошибкой, однако, это не лучшая идея, если вы заинтересованы в мотивации хороших исследователей» - заявил Куглер в своем сообщении.


или введите имя

CAPTCHA
ребе Поцман
27-05-2013 14:16:53
Таки все пеrекаrтавили... Сообщение было отпrавлено в full-disclosure@, а пrичина публикации выглядит следующим обrазом: I don't want to allege PayPal a kind of bug bounty cost saving, but it's not the best idea when you're interested in motivated security researchers... Шо в пеrеводе будет: "Я не обвиняю ПП в попытках сэкономить на обещанном вознагrаждении, но если вы заинтеrесованы в сеrьезном подходе со стоrоны исследователей - это не самое мудrое rешение."
0 |
Описторх.
27-05-2013 18:03:57
Вот ещё одно подтверждение правила, что денег много не бывает. Корпорация, ворочающая десятками миллионов долларов нашла предлог, что бы не заплатить 1000 баксов (или около этого) студенту. Вот жлобы, хорошо бы их поимели на много большую сумму с помощью этой уязвимости.
0 |
Гость
28-05-2013 08:38:26
Все правильно сделал) Может это заставит их задуматься.
0 |
HEm
28-05-2013 09:57:06
Сомневаюсь, что им денег было жалко. Скорее всего побоялись какие нить законы о детском труде нарушить.
0 |
ям
23-10-2013 11:37:04
Когда найдут следующую уязвимость, сначала возьмут деньги , (с помощью узявимости) , а потом уже и собщат
0 |