В системе PayPal устранена уязвимость кросс-сайтового скриптинга (XSS), найденная в функции конвертирования валют в пользовательских кошельках.
Впервые обнаруженная 19 февраля 2020 года исследователем под названием «Cr33pb0y» на HackerOne, уязвимость состоит в возможности «отраженных XSS и CSP».
Ошибка найдена в функции конвертации валют кошельков PayPal в веб-домене PayPal.
В сообщении, опубликованном 10 февраля, почти через год после того, как исследователь сообщил об уязвимости разработчику, PayPal заявила, что ошибка существовала в конечной точке конвертации валюты и была вызвана неспособностью должным образом отфильтровать вводимую пользователем информацию.
Слабый URL-параметр не смог очистить входные данные, которые могли бы позволить злоумышленникам выполнить вредоносный JavaScript, HTML или любой другой код, «который браузер мог бы выполнить».
В результате, вредоносный код мог быть инициирован в Document Object Model (DOM) страницы браузера жертвы без их ведома или согласия.
Как правило, отраженные XSS-атаки «отражают» скрипты от веб-источника до браузера и могут потребовать от жертвы только щелчка по вредоносной ссылке для запуска. Вредоносный код может быть использован для кражи куки-файлов, маркеров сеанса, информации об учетной записи или может представлять собой один из этапов в комплексных атаках.
После обновления в PayPal теперь реализованы дополнительные проверки и средства «дезинфекции» вводимых данных, позволяющие контролировать ввод данных пользователем при обмене валюты и не допускать использования бага.
CVE для уязвимости не было назначено, но она была классифицирована как недостаток средней опасности. Исследователю было выплачено 2900 долларов США в качестве финансового вознаграждения.
В прошлом году HackerOne опубликовал список наиболее действенных и «доходных» типов уязвимостей, зарегистрированных на платформе в течение 2020 года. XSS-атаки, неправильный контроль доступа, раскрытие информации и подделка запросов с серверной стороны (SSRF) уязвимости заняли верхние места рейтинга.
Перевод сделан со статьи: https://www.zdnet.com
