首页保安PayPal修复了用户钱包货币转换器中的XSS漏洞

PayPal修复了用户钱包货币转换器中的XSS漏洞

PayPal修复了跨站点脚本(XSS)漏洞,可以转换用户钱包。

被描述为“反射的XSS和CSP绕过”问题的漏洞最初是由绰号为“ Cr33pb0y”的漏洞猎人在HackerOne中发现的。

在将PayPal钱包转换为PayPal Web域的功能中检测到错误。

在10月XNUMX日发布的报告中-研究人员私下报告了问题的将近一年之后,贝宝(PayPal)表示该错误存在于货币换算的终点, 造成 从失败到正确控制用户输入。

弱参数 网址 通过允许威胁代理输入恶意JavaScript未能“清理”输入, HTML 或任何其他可以执行的代码 浏览器,国家咨询。

贝宝

结果,恶意负载可能在受害者的浏览器页面的文档对象模型(DOM)中被触发,而无需他们的了解或同意。

通常,反射的XSS攻击会将脚本从Web源“反射”到浏览器中,并且可能需要受害者这样做。 点击 在一个 恶意链接 用于激活。 有效负载可用于窃取Cookie,会话令牌或帐户信息,或者 他们可以 作为更广泛攻击的一步。

漏洞发现后,贝宝(PayPal)现在已实施了其他验证检查,以检查用户在货币兑换功能上的输入以及 消除错误.

没有分配CVE,但该漏洞已被归类为中等。 研究人员获得了2.900美元的经济奖励。

信息来源:zdnet.com

实时新闻