Брешь позволяла злоумышленникам похитить финансовые данные пользователей.
ИБ-исследователь из Египта Ибрагим Хегази (Ebrahim Hegazy) обнаружил XSS-уязвимость в домене SecurePayments.PayPal.com. Данный домен используется владельцами интернет-магазинов и позволяет пользователям осуществлять покупки с помощью платежной карты или учетной записи PayPal, исключая необходимость хранения ресурсом важной финансовой информации.
Согласно данным Хегази, уязвимость позволяла злоумышленникам изменить содержимое страницы SecurePayments, ввести пользователей в заблуждение и получить финансовые данные жертв. Например, заменить кнопку «Оформить заказ» на URL, специально созданный для эксплуатации XSS-уязвимости. Собранные данные отправлялись бы на сервер, подконтрольный злоумышленникам.
Инъекции XSS-кода можно ввести в страницу PayPal SecurePayments через URL, который может выглядеть следующим образом:
Эксперт сообщил об уязвимости представителям PayPal 19 июня 2015 года. Исправление бреши было подтверждено 25 августа текущего года. За выявление уязвимости Хегази получил $750, что на данный момент является крупнейшим вознаграждением за обнаружение XSS-уязвимости.
ИБ-исследователь из Египта Ибрагим Хегази (Ebrahim Hegazy) обнаружил XSS-уязвимость в домене SecurePayments.PayPal.com. Данный домен используется владельцами интернет-магазинов и позволяет пользователям осуществлять покупки с помощью платежной карты или учетной записи PayPal, исключая необходимость хранения ресурсом важной финансовой информации.
Согласно данным Хегази, уязвимость позволяла злоумышленникам изменить содержимое страницы SecurePayments, ввести пользователей в заблуждение и получить финансовые данные жертв. Например, заменить кнопку «Оформить заказ» на URL, специально созданный для эксплуатации XSS-уязвимости. Собранные данные отправлялись бы на сервер, подконтрольный злоумышленникам.
Инъекции XSS-кода можно ввести в страницу PayPal SecurePayments через URL, который может выглядеть следующим образом:
Для просмотра ссылки необходимо нажать
Вход или Регистрация
. Затем вредоносный URL можно внедрить в кнопку «Оформить заказ», отмечает Хегази. Эксперт сообщил об уязвимости представителям PayPal 19 июня 2015 года. Исправление бреши было подтверждено 25 августа текущего года. За выявление уязвимости Хегази получил $750, что на данный момент является крупнейшим вознаграждением за обнаружение XSS-уязвимости.