PayPal sufre vulnerabilidad mediante XSS The H Security 28-Mayo-2013

Robert Kugler, un estudiante alemán de apenas 17 años de edad, publicó información de una vulnerabilidad XSS (Cross-Site Scripting) en el proceso de servicio de pagos de la empresa PayPal, mediante una divulgación masiva vía correo electrónico.

Al parecer, el joven Kugler quería reportar la vulnerabilidad a PayPal para ser partícipe de un programa de recompensa de errores (Big Bounty Program), pero el programa sólo otorga las recompensas a mayores de 18 años. Por lo que en medio de su frustración, hizo pública la vulnerabilidad.

Aparentemente, los servidores de PayPal fallan al revisar cadenas en el campo de búsqueda de la versión alemana del sitio web. Como resultado, es posible insertar código JavaScript mediante este campo, que posteriormente el servidor envía al navegador web para después ejecutarlo.
Mediante esta vulnerabilidad, los atacantes pueden obtener accesos restringidos a los servidores de PayPal, o de manera más general, pueden obtener información sensible para PayPal y sus usuarios.

Lo peligroso de este ataque, es que un usuario de PayPal, no puede darse cuenta que el código del atacante se está ejecutando, puesto que en la barra de direcciones del navegador web, se muestra la dirección web legítima de PayPal, junto con el certificado de seguridad SSL (Secure Socket Layer) que no muestra ninguna irregularidad.

Los usuarios de los navegadores web Opera, Firefox e Internet Explorer son vulnerables ante esta brecha de seguridad de PayPal, mientras que usuarios de Safari y Google Chrome pueden evitarlo ya que cuentan con filtros para ataques tipo XSS.

Fuente

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies