Поиск по этому блогу

10 февр. 2009 г.

Межсайтовый скриптинг на странице PayPal

На странице сервиса онлайн-платежей PayPal нашелся еще один XSS-баг, который хакеры могли бы использовать для кражи пользовательских паролей или cookies с данными авторизации.

На момент публикации новости переход по ссылке на эту страницу приводит к загрузке испорченного содержимого и появлению окна javascript, в котором красуется надпись "Fugitif еще раз тут побывал". Редирект срабатывает и в Internet Explorer и в Firefox. Впрочем, плагин NoScript для Firefox автоматически блокирует загрузку страницы.

XSS остается одним из самых доступных способов преодоления защиты сайтов. При помощи манипуляции с URL в ресурс внедряется код или контент, которые изменяют его поведение. XSS-эксплоиты позволяют обходить проверку "same-origin", предотвращающую попытки использования установленных доменом cookies с другого адреса.

По нашим данным, представители PayPal в курсе сложившейся ситуации, поэтому баг будет устранен в ближайшее время.

Комментариев нет:

Sociable