AnasayfagüvenlikPayPal, kullanıcı cüzdanı para birimi dönüştürücüsündeki bir XSS güvenlik açığını düzeltti

PayPal, kullanıcı cüzdanı para birimi dönüştürücüsündeki bir XSS güvenlik açığını düzeltti

PayPal, kullanıcı cüzdanlarını dönüştürme becerisindeki siteler arası komut dosyası oluşturma (XSS) güvenlik açığını düzeltti.

"Yansıyan XSS ve CSP atlama" sorunu olarak tanımlanan güvenlik açığı ilk olarak HackerOne'da "Cr33pb0y" lakaplı bir hata avcısı tarafından keşfedildi.

PayPal cüzdanlarını PayPal web etki alanına dönüştürme becerisinde hata tespit edildi.

Araştırmacının sorunu özel olarak bildirmesinden neredeyse bir yıl sonra 10 Şubat'ta yayınlanan bir raporda PayPal, hatanın para birimi dönüştürme uç noktasında olduğunu söyledi ve neden oldu başarısızlıktan kullanıcı girdisini doğru şekilde kontrol etme.

Zayıf bir parametre <span style="color:white">URL</span> tehdit ajanlarının kötü amaçlı JavaScript girmesine izin vererek girdiyi "temizleyemedi", HTML veya "çalıştırabilecek başka herhangi bir kod" tarayıcı", Danışma belgesini belirtir.

PayPal

Sonuç olarak, bir kurbanın tarayıcı sayfasının Belge Nesne Modeli'nde (DOM), onların bilgisi veya izni olmadan kötü amaçlı yükler tetiklenebilir.

Tipik olarak, yansıtılan XSS saldırıları, bir web kaynağındaki komut dosyalarını bir tarayıcıya "yansıtır" ve bir kurbanın bunu yapmasını gerektirebilir. tık birinde kötü amaçlı bağlantı aktivasyon için. Yükler çerezleri, oturum jetonlarını veya hesap bilgilerini çalmak için kullanılabilir veya yapabilirler için kullanılan daha geniş saldırılara bir adım olarak.

Güvenlik açığının açığa çıkmasının ardından, PayPal artık döviz bozdurma özelliğiyle ilgili kullanıcı girişini kontrol etmek için ek doğrulama kontrolleri uyguladı ve elemek το hata.

CVE atanmamış, ancak güvenlik açığı orta olarak sınıflandırılmış. Araştırmacıya maddi ödül olarak 2.900 dolar verildi.

Bilgi kaynağı: zdnet.com

Teo Ehchttps://www.secnews.gr
Sınırlı sayıda olun.
spot_img

CANLI HABERLER