1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

PayPal wieder durch Cross-Site-Scripting angreifbar

Dieses Thema im Forum "PC&Internet News" wurde erstellt von josef.13, 26. Mai 2013.

  1. josef.13
    Offline

    josef.13 Modlehrling Newsbereich Digital Eliteboard Team Modlehrling

    Registriert:
    1. Juli 2009
    Beiträge:
    15.596
    Zustimmungen:
    15.169
    Punkte für Erfolge:
    113
    Ort:
    Sachsen
    Wie der 17-Jährige deutsche Schüler Robert Kugler auf der Mailingliste Full Disclosure

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    , ist der Bezahldienst PayPal mit einer simplen Cross-Site-Scripting-Attacke angreifbar. Kugler wollte dem Unternehmen den Fehler im Zusammenhang mit dessen offiziellem

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    melden – es belohnt jedoch nur Teilnehmer, die mindestens 18 Jahre alt sind. Aus Verärgerung darüber publizierte er den Bug nun.

    [​IMG]
    Eine simple Zeichenkette trickst PayPals Eingabefilter aus und erlaubt es Angreifern, beliebigen JavaScript-Code auszuführen.

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?



    Die PayPal-Server prüfen Eingaben im Site-weiten Suchfeld offenbar nicht gründlich. Dadurch ist es möglich, in diesem Feld JavaScript-Code einzugeben, den der Server dann an den Browser schickt. Dieser führt den Code aus. Angreifer können solche

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    (Cross-Site Scripting) nutzen, um beispielsweise Zugangsdaten abzugreifen. Zur Illustration reicht es,


    "<SCRIPT>alert('Schon wieder XSS')</SCRIPT>
    im Suchfeld einzugeben.

    [​IMG]
    Heise-Leser werden den XSS-Trick bemerken: Trotz Paypal-URL und gültigem Paypal-Zertifikat landen hier eingegebene Login-Daten keineswegs bei Paypal, sondern bei Heise.

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?



    Vom eingeschleusten Code eines Angreifers bekommt der Anwender nichts mit, da in der Adresszeile des Browsers die korrekte PayPal-URL steht, und auch die Prüfung des SSL-Zertifikats keine Auffälligkeiten zeigt. Allerdings funktioniert der von Kugler beschriebene einfache Angriff nicht mit den Webkit-Browsern Safari und Chrome, die einen XSS-Filter enthalten. Auch der soll jedoch zu

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    sein. Nutzer von Opera, Firefox und Internet Explorer sind durch die PayPal-Lücke in jedem Fall verwundbar. Die Mozilla-Entwickler

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    zwar an einem eigenen XSS-Filter, die Entwicklung scheint jedoch ins Stocken geraten zu sein.

    Bereits im März 2012 war eine XSS-Lücke bei PayPal

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    worden, die sich durch unzulänglich gefilterte Benutzereingaben ausnutzen ließ. Damals wie heute wirbt das Unternehmen mit einem

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    (PDF-Dokument) des TÜV Saarland als "Geprüftes Zahlungssystem". Es setzte im vergangenen

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    weltweit 1,5 Milliarden US-Dollar um.

    Quelle: heise
     
    #1
    Borko23 und Papa Joe gefällt das.
  2. phantom

    Nervigen User Advertisement

  3. josef.13
    Offline

    josef.13 Modlehrling Newsbereich Digital Eliteboard Team Modlehrling

    Registriert:
    1. Juli 2009
    Beiträge:
    15.596
    Zustimmungen:
    15.169
    Punkte für Erfolge:
    113
    Ort:
    Sachsen
    PayPal-Schwachstelle endlich geschlossen

    Der Zahlungsabwickler PayPal hat am Mittwochabend die seit fünf Tagen

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    in seinem Portal geschlossen. Insgesamt wusste das Unternehmen rund zwei Wochen davon. Die Lücke hatte es durchaus in sich: Sie erlaubte das Einschleusen beliebigen JavaScript-Codes in die PayPal-Site. Angreifer hätten so etwa Zugangsdaten abgreifen können.

    Unverständlich ist, warum sich das Unternehmen so viel Zeit gelassen hat. Schließlich kursieren sämtliche zur Ausnutzung der Lücke nötigen Informationen bereits seit vergangener Woche im Netz; es bestand akuter Handlungsbedarf. In ähnlichen Fällen reagieren die betroffenen Unternehmen meist innerhalb von 24 Stunden.

    Irritierend ist auch, dass eine PayPal-Sprecherin noch am gestrigen Dienstag gegenüber heise Security erklärte, dass "zu diesem Zeitpunkt keine Hinweise darauf deuten" würden, dass die Daten der PayPal-Kunden gefährdet sind. Ungeachtet dessen, dass wir bereits einige Tage zuvor

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    , indem wir unser eigenes Login-Formular in die HTTPS-geschützte PayPal-Seite einbetteten. Mit etwas krimineller Energie hätte man eine Phishing-Seite aufsetzen können, die auf den ersten Blick nicht vom Original zu unterscheiden ist.

    Entdeckt hat die Schwachstelle ein 17-jähriger Schüler, der sie ursprünglich über das vor einem Jahr gestartete

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    an das Unternehmen melden wollte. Da ihm PayPal die Teilnahme jedoch verweigerte, da er das achtzehnte Lebensjahr noch nicht erreicht hat, veröffentlichte er die Details zu seinem Fund auf der öffentlich zugänglichen Security-Mailingliste Full Disclosure – zuvor räumte er PayPal allerdings noch eine Schonfrist von einer Woche ein, die das Unternehmen verstreichen ließ.

    Quelle: heise

    Altersbeschränkung von PayPals „Bug Bounty Programm“?

    PayPal verweigert einem Teenager die Belohnung für das Aufspüren einer Schwachstelle. Angeblich ist der 17-Jährige zu jung, um vom „Bug Bounty Programm“ belohnt zu werden, eine Richtlinie bezüglich des Alters gibt PayPal auf seiner Webseite jedoch nicht. Andere große Internetfirmen wie Google und Microsoft würdigen alle Nutzer, die auf Schwachstellen aufmerksam machen.

    Ein 17-jähriger deutscher Schüler behauptet, PayPal habe ihm eine Belohnung für das Entdecken eines Bugs in der Webseite verweigert. Robert Kugler hat das Unternehmen bereits am 19. Mai über die Schwachstelle informiert, daraufhin wurde er per E-Mail darüber aufgeklärt, dass er mit einem Alter unter 18 Jahren zu jung für das „Bug Bounty Programm“ von PayPal sei.

    PayPal, das dem Online-Auktionshaus eBay gehört, erläutert die Geschäftsbedingungen für sein Bug Bounty Programm auf der Webseite, über eine Altersbeschränkung wird hier aber nicht gesprochen. Viele Unternehmen, darunter auch Google und Facebook, haben Belohnungsprogramme. Deren Zielsetzung ist es, Nutzern einen Anreiz zu bieten, die Konzerne privat über Probleme ihrer Seiten zu benachrichtigen. So können Betreiber Fixes freigeben, bevor Hacker die Gelegenheit zu einem Angriff wahrnehmen. Facebook zahlt mindestens 500 Dollar für das Aufzeigen von Schwachstellen, Google zwischen 100 und 20.000 Dollar je nachdem, wie schwerwiegend das Problem ist.

    Keines der beiden Unternehmen hat eine Altersbeschränkung in diesem Zusammenhang. Microsoft belohnt ein Aufspüren von Bugs nicht mit Geld, dafür würdigt man die Leistung öffentlich. PayPal gibt nicht bekannt, was dem Dienst ein Hinweis auf eine Schwachstelle wert ist.

    Kugler ist in einer Liste bei Microsoft als Entdecker einer Schwachstelle im April angeführt. Dem Teenager zufolge hat er in der Vergangenheit bereits Belohnungen für das Aufspüren von Schwachstellen erhalten, Mozilla zahlte ihm dafür letztes Jahr 1.500 Dollar und Anfang dieses Jahres 3.000 Dollar. Bei PayPal ist es erforderlich, dass Personen, die auf einen Bug aufmerksam machen, ein überprüftes PayPal-Konto besitzen. Kugler gibt an, er habe PayPal gebeten, Belohnungen auf das Konto seiner Eltern einzuzahlen.

    Er möchte von dem Unternehmen zumindest gewürdigt werden und in irgendeiner Form eine Dokumentation erhalten, die er bei Bewerbungen verwenden könnte. Bislang hat er noch gar nichts bekommen.

    Quelle: gulli
     
    #2

Diese Seite empfehlen