В PayPal обнаружена XSS-уязвимость

  • Автор темы Eva
  • Дата начала

Eva

Местный
Регистрация
3/4/15
Сообщения
866
Репутация
0
Реакции
1.778
RUB
0
Эксперты представили концепт атаки на платежный сервис.

Исследователи Bitdefender сообщили об обнаружении XSS-уязвимости в PayPal, которая позволяет хакерам загружать вредоносные файлы для атак на зарегистрированных пользователей платежного сервиса. Брешь существует из-за того, как обрабатывается и расшифровывается URL, по которым передаются загружаемые файлы.

Эксперты представили концепт атаки с использованием XML-файла в формате HTML, загружаемого через раздел «Создать инвойс» («Create an Invoice»). Путем манипуляций с URL, который загружает файлы с серверов PayPal, исследователи смогли выполнить вредоносный код в браузере.

После создания файла эксперты модифицировали ссылку на него и внесли изменения, вызывавшие ошибку. Определив весь путь к XSS-уязвимости, эксперты загрузили второй файл с заданным именем, который был разделен на блоки по 16 символов. В связи с тем, что изменения, внесенные в каждый из них, затрагивают последующие блоки, входной файл очень отличался от первоначального. Добившись ответа от PayPal, исследователи получили ссылку, которую можно использовать в последующих атаках.

Эксплуатация уязвимости возможна только через браузер Firefox. До настоящего времени какие-либо свидетельства подобных атак обнаружены не были.
 
+1 в карму, Eva очень интересно что-то почитать про qivi.
спасибо.
 
  • Нравится
Реакции: Eva
Назад
Сверху Снизу