Wie der 17-Jährige deutsche Schüler Robert Kugler auf der Mailingliste Full Disclosure beschreibt, ist der Bezahldienst PayPal mit einer simplen Cross-Site-Scripting-Attacke angreifbar. Kugler wollte dem Unternehmen den Fehler im Zusammenhang mit dessen offiziellem Bug-Bounty-Programm melden – es belohnt jedoch nur Teilnehmer, die mindestens 18 Jahre alt sind. Aus Verärgerung darüber publizierte er den Bug nun.
Eine simple Zeichenkette trickst PayPals Eingabefilter aus und erlaubt es Angreifern, beliebigen JavaScript-Code auszuführen.
Die PayPal-Server prüfen Eingaben im Site-weiten Suchfeld offenbar nicht gründlich. Dadurch ist es möglich, in diesem Feld JavaScript-Code einzugeben, den der Server dann an den Browser schickt. Dieser führt den Code aus. Angreifer können solche XSS-Lücken (Cross-Site Scripting) nutzen, um beispielsweise Zugangsdaten abzugreifen. Zur Illustration reicht es,
"<SCRIPT>alert('Schon wieder XSS')</SCRIPT>
Heise-Leser werden den XSS-Trick bemerken: Trotz Paypal-URL und gültigem Paypal-Zertifikat landen hier eingegebene Login-Daten keineswegs bei Paypal, sondern bei Heise.
Vom eingeschleusten Code eines Angreifers bekommt der Anwender nichts mit, da in der Adresszeile des Browsers die korrekte PayPal-URL steht, und auch die Prüfung des SSL-Zertifikats keine Auffälligkeiten zeigt. Allerdings funktioniert der von Kugler beschriebene einfache Angriff nicht mit den Webkit-Browsern Safari und Chrome, die einen XSS-Filter enthalten. Auch der soll jedoch zu umgehen sein. Nutzer von Opera, Firefox und Internet Explorer sind durch die PayPal-Lücke in jedem Fall verwundbar. Die Mozilla-Entwickler arbeiten zwar an einem eigenen XSS-Filter, die Entwicklung scheint jedoch ins Stocken geraten zu sein.
Bereits im März 2012 war eine XSS-Lücke bei PayPal entdeckt worden, die sich durch unzulänglich gefilterte Benutzereingaben ausnutzen ließ. Damals wie heute wirbt das Unternehmen mit einem Zertifikat (PDF-Dokument) des TÜV Saarland als "Geprüftes Zahlungssystem". Es setzte im vergangenen Geschäftsjahr weltweit 1,5 Milliarden US-Dollar um.
Quelle: heise
Du musst angemeldet sein, um Bilder zu sehen.
Eine simple Zeichenkette trickst PayPals Eingabefilter aus und erlaubt es Angreifern, beliebigen JavaScript-Code auszuführen.
Du musst angemeldet sein, um Bilder zu sehen.
"<SCRIPT>alert('Schon wieder XSS')</SCRIPT>
im Suchfeld einzugeben.
Du musst angemeldet sein, um Bilder zu sehen.
Heise-Leser werden den XSS-Trick bemerken: Trotz Paypal-URL und gültigem Paypal-Zertifikat landen hier eingegebene Login-Daten keineswegs bei Paypal, sondern bei Heise.
Du musst angemeldet sein, um Bilder zu sehen.
Bereits im März 2012 war eine XSS-Lücke bei PayPal entdeckt worden, die sich durch unzulänglich gefilterte Benutzereingaben ausnutzen ließ. Damals wie heute wirbt das Unternehmen mit einem Zertifikat (PDF-Dokument) des TÜV Saarland als "Geprüftes Zahlungssystem". Es setzte im vergangenen Geschäftsjahr weltweit 1,5 Milliarden US-Dollar um.
Quelle: heise