PayPal-Korrekturen spiegelten eine XSS-Schwachstelle im Währungsumrechner der Benutzer-Wallet wider

  • Oct 29, 2023

Der Endpunkt für die Währungsumrechnung war anfällig für Angriffe.

PayPal hat eine Sicherheitslücke im Zusammenhang mit Cross-Site-Scripting (XSS) behoben, die in der Währungsumrechnerfunktion von Benutzer-Wallets gefunden wurde.

Sicherheit

  • 8 Gewohnheiten hochsicherer Remote-Mitarbeiter
  • So finden und entfernen Sie Spyware von Ihrem Telefon
  • Die besten VPN-Dienste: Wie schneiden die Top 5 im Vergleich ab?
  • So finden Sie heraus, ob Sie in einen Datenverstoß verwickelt sind – und was als nächstes zu tun ist

Erstmals veröffentlicht am 19. Februar 2020 durch einen Bug-Kopfgeldjäger mit dem Namen „Cr33pb0y" auf HackerOne, dem Verletzlichkeit wird als „reflektiertes XSS- und CSP-Bypass“-Problem beschrieben.

Der Fehler wurde in der Währungsumrechnungsfunktion von PayPal-Geldbörsen auf der PayPal-Webdomain gefunden.

In einer begrenzten Offenlegung, die am 10. Februar veröffentlicht wurde – fast ein Jahr nachdem der Forscher das Problem privat gemeldet hatte – Laut PayPal bestand der Fehler im Währungsumrechnungs-Endpunkt und wurde durch ein Versäumnis verursacht, den Benutzer ordnungsgemäß zu bereinigen Eingang.

Ein schwacher URL-Parameter konnte Eingaben nicht bereinigen, was es Bedrohungsakteuren ermöglichen könnte, bösartiges JavaScript, HTML oder jeden anderen Code einzuschleusen, „den der Browser ausführen könnte“, heißt es in der Empfehlung.

Infolgedessen könnten bösartige Payloads ohne deren Wissen oder Zustimmung im Document Object Model (DOM) einer Browserseite eines Opfers ausgelöst werden.

Typischerweise spiegeln reflektierte XSS-Angriffe Skripte von einer Webquelle an einen Browser wider und erfordern möglicherweise nur, dass ein Opfer auf einen bösartigen Link klickt, um auszulösen. Payloads können dazu verwendet werden, Cookies, Sitzungstoken oder Kontoinformationen zu stehlen, oder sie könnten als Schritt für umfassendere Angriffe verwendet werden.

Nach der Offenlegung des Bug-Bounty-Jägers hat PayPal nun eine zusätzliche Validierung implementiert Schecks und Desinfektionskontrollen, um Benutzereingaben in der Währungsumtauschfunktion zu kontrollieren und auszulöschen der Fehler.

Es wurde kein CVE zugewiesen, die Schwachstelle wurde jedoch als mittlerer Schweregrad eingestuft. Als finanzielle Belohnung erhielt der Forscher 2.900 US-Dollar.

Letztes Jahr, HackerOne eine Liste veröffentlicht einer der einflussreichsten und am meisten belohnten Schwachstellentypen, die im Jahr 2020 auf der Plattform gemeldet wurden. XSS-Angriffe, unsachgemäße Zugriffskontrolle, Offenlegung von Informationen und SSRF-Schwachstellen (Server-Side Request Forgery) sicherten sich die Spitzenplätze.

Bisherige und verwandte Berichterstattung

  • PayPal übertrifft die Erwartungen für das vierte Quartal und das Geschäftsjahr 2020 endet als sein stärkstes Jahr seit Beginn der Aufzeichnungen
  • US-PayPal-Benutzer können bald Krypto anstelle von Fiat-Währung verwenden
  • Die Coronavirus-Pandemie führt zu einer „seismischen Verschiebung“ in der EU-Zahlungsverkehrsbranche und den Einzelhandelstrends

Haben Sie einen Tipp? Sicher über WhatsApp in Kontakt treten | Signal unter +447713 025 499 oder über Keybase: charlie0