PC & Internet PayPal wieder durch Cross-Site-Scripting angreifbar

Wie der 17-Jährige deutsche Schüler Robert Kugler auf der Mailingliste Full Disclosure

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

, ist der Bezahldienst PayPal mit einer simplen Cross-Site-Scripting-Attacke angreifbar. Kugler wollte dem Unternehmen den Fehler im Zusammenhang mit dessen offiziellem

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

melden – es belohnt jedoch nur Teilnehmer, die mindestens 18 Jahre alt sind. Aus Verärgerung darüber publizierte er den Bug nun.

​

Eine simple Zeichenkette trickst PayPals Eingabefilter aus und erlaubt es Angreifern, beliebigen JavaScript-Code auszuführen.

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

​

Die PayPal-Server prüfen Eingaben im Site-weiten Suchfeld offenbar nicht gründlich. Dadurch ist es möglich, in diesem Feld JavaScript-Code einzugeben, den der Server dann an den Browser schickt. Dieser führt den Code aus. Angreifer können solche

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

(Cross-Site Scripting) nutzen, um beispielsweise Zugangsdaten abzugreifen. Zur Illustration reicht es,


"<SCRIPT>alert('Schon wieder XSS')</SCRIPT>

im Suchfeld einzugeben.

​

Heise-Leser werden den XSS-Trick bemerken: Trotz Paypal-URL und gültigem Paypal-Zertifikat landen hier eingegebene Login-Daten keineswegs bei Paypal, sondern bei Heise.

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

​

Vom eingeschleusten Code eines Angreifers bekommt der Anwender nichts mit, da in der Adresszeile des Browsers die korrekte PayPal-URL steht, und auch die Prüfung des SSL-Zertifikats keine Auffälligkeiten zeigt. Allerdings funktioniert der von Kugler beschriebene einfache Angriff nicht mit den Webkit-Browsern Safari und Chrome, die einen XSS-Filter enthalten. Auch der soll jedoch zu

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

sein. Nutzer von Opera, Firefox und Internet Explorer sind durch die PayPal-Lücke in jedem Fall verwundbar. Die Mozilla-Entwickler

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

zwar an einem eigenen XSS-Filter, die Entwicklung scheint jedoch ins Stocken geraten zu sein.

Bereits im März 2012 war eine XSS-Lücke bei PayPal

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

worden, die sich durch unzulänglich gefilterte Benutzereingaben ausnutzen ließ. Damals wie heute wirbt das Unternehmen mit einem

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

(PDF-Dokument) des TÜV Saarland als "Geprüftes Zahlungssystem". Es setzte im vergangenen

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

weltweit 1,5 Milliarden US-Dollar um.

Quelle: heise

 

[josef.13]

PayPal-Schwachstelle endlich geschlossen

Der Zahlungsabwickler PayPal hat am Mittwochabend die seit fünf Tagen

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

in seinem Portal geschlossen. Insgesamt wusste das Unternehmen rund zwei Wochen davon. Die Lücke hatte es durchaus in sich: Sie erlaubte das Einschleusen beliebigen JavaScript-Codes in die PayPal-Site. Angreifer hätten so etwa Zugangsdaten abgreifen können.

Unverständlich ist, warum sich das Unternehmen so viel Zeit gelassen hat. Schließlich kursieren sämtliche zur Ausnutzung der Lücke nötigen Informationen bereits seit vergangener Woche im Netz; es bestand akuter Handlungsbedarf. In ähnlichen Fällen reagieren die betroffenen Unternehmen meist innerhalb von 24 Stunden.

Irritierend ist auch, dass eine PayPal-Sprecherin noch am gestrigen Dienstag gegenüber heise Security erklärte, dass "zu diesem Zeitpunkt keine Hinweise darauf deuten" würden, dass die Daten der PayPal-Kunden gefährdet sind. Ungeachtet dessen, dass wir bereits einige Tage zuvor

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

, indem wir unser eigenes Login-Formular in die HTTPS-geschützte PayPal-Seite einbetteten. Mit etwas krimineller Energie hätte man eine Phishing-Seite aufsetzen können, die auf den ersten Blick nicht vom Original zu unterscheiden ist.

Entdeckt hat die Schwachstelle ein 17-jähriger Schüler, der sie ursprünglich über das vor einem Jahr gestartete

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

an das Unternehmen melden wollte. Da ihm PayPal die Teilnahme jedoch verweigerte, da er das achtzehnte Lebensjahr noch nicht erreicht hat, veröffentlichte er die Details zu seinem Fund auf der öffentlich zugänglichen Security-Mailingliste Full Disclosure – zuvor räumte er PayPal allerdings noch eine Schonfrist von einer Woche ein, die das Unternehmen verstreichen ließ.

Quelle: heise

Altersbeschränkung von PayPals „Bug Bounty Programm“?

PayPal verweigert einem Teenager die Belohnung für das Aufspüren einer Schwachstelle. Angeblich ist der 17-Jährige zu jung, um vom „Bug Bounty Programm“ belohnt zu werden, eine Richtlinie bezüglich des Alters gibt PayPal auf seiner Webseite jedoch nicht. Andere große Internetfirmen wie Google und Microsoft würdigen alle Nutzer, die auf Schwachstellen aufmerksam machen.

Ein 17-jähriger deutscher Schüler behauptet, PayPal habe ihm eine Belohnung für das Entdecken eines Bugs in der Webseite verweigert. Robert Kugler hat das Unternehmen bereits am 19. Mai über die Schwachstelle informiert, daraufhin wurde er per E-Mail darüber aufgeklärt, dass er mit einem Alter unter 18 Jahren zu jung für das „Bug Bounty Programm“ von PayPal sei.

PayPal, das dem Online-Auktionshaus eBay gehört, erläutert die Geschäftsbedingungen für sein Bug Bounty Programm auf der Webseite, über eine Altersbeschränkung wird hier aber nicht gesprochen. Viele Unternehmen, darunter auch Google und Facebook, haben Belohnungsprogramme. Deren Zielsetzung ist es, Nutzern einen Anreiz zu bieten, die Konzerne privat über Probleme ihrer Seiten zu benachrichtigen. So können Betreiber Fixes freigeben, bevor Hacker die Gelegenheit zu einem Angriff wahrnehmen. Facebook zahlt mindestens 500 Dollar für das Aufzeigen von Schwachstellen, Google zwischen 100 und 20.000 Dollar je nachdem, wie schwerwiegend das Problem ist.

Keines der beiden Unternehmen hat eine Altersbeschränkung in diesem Zusammenhang. Microsoft belohnt ein Aufspüren von Bugs nicht mit Geld, dafür würdigt man die Leistung öffentlich. PayPal gibt nicht bekannt, was dem Dienst ein Hinweis auf eine Schwachstelle wert ist.

Kugler ist in einer Liste bei Microsoft als Entdecker einer Schwachstelle im April angeführt. Dem Teenager zufolge hat er in der Vergangenheit bereits Belohnungen für das Aufspüren von Schwachstellen erhalten, Mozilla zahlte ihm dafür letztes Jahr 1.500 Dollar und Anfang dieses Jahres 3.000 Dollar. Bei PayPal ist es erforderlich, dass Personen, die auf einen Bug aufmerksam machen, ein überprüftes PayPal-Konto besitzen. Kugler gibt an, er habe PayPal gebeten, Belohnungen auf das Konto seiner Eltern einzuzahlen.

Er möchte von dem Unternehmen zumindest gewürdigt werden und in irgendeiner Form eine Dokumentation erhalten, die er bei Bewerbungen verwenden könnte. Bislang hat er noch gar nichts bekommen.

Quelle: gulli