image/svg+xml
Logo Tom's Hardware
  • Hardware
  • Videogiochi
  • Mobile
  • Elettronica
  • EV
  • Scienze
  • B2B
  • Quiz
  • Tom's Hardware Logo
  • Hardware
  • Videogiochi
  • Mobile
  • Elettronica
  • EV
  • Scienze
  • B2B
  • Quiz
  • Forum
  • Sconti & Coupon
Sconti & Coupon
Accedi a Xenforo
Immagine di Roborock Q7 M5, robot aspirapolvere per chi vuole spendere poco | Test & Recensione Roborock Q7 M5, robot aspirapolvere per chi vuole spendere p...
Immagine di Shelly Gen4 e Plus: piccoli dispositivi ma grandi alleati per una casa smart Shelly Gen4 e Plus: piccoli dispositivi ma grandi alleati pe...

PayPal di nuovo vulnerabile al cross-site scripting

Il famoso sito di pagamenti online ancora nell’occhio del ciclone per un bug scoperto nella versione tedesca da un ragazzo di 17 anni.

Advertisement

Quando acquisti tramite i link sul nostro sito, potremmo guadagnare una commissione di affiliazione. Scopri di più
Avatar di Redazione - Sicurezza

a cura di Redazione - Sicurezza

Pubblicato il 28/05/2013 alle 18:24 - Aggiornato il 15/03/2015 alle 01:45

Un ragazzo tedesco di  17 anni, tale Robert Kugler, ha pubblicato informazioni su una vulnerabilità di tipo cross-site scripting nel sistema di pagamento PayPal. Kugler ha voluto segnalare il bug a PayPal e partecipare quindi al programma lanciato dall’azienda dal nome Bug Bounty che offre denaro a chi segnala bug di sicurezza del sito. Il programma però prevede il pagamento solo ai partecipanti che hanno 18 anni o più. Per sfogare la sua frustrazione, Kugler ha diffuso pubblicamente il bug che ha scovato. I server di PayPal, apparentemente, non riescono a controllare con sufficiente rigore le stringhe inserite nel campo di ricerca  nella versione tedesca del sito. 

Paypal ricade in vulnerabilità cross scripting, denotando un sistema di sicurezza non all'altezza di quanto ci si aspetterebbe da un sito che maneggia così tanti soldi. D'altro canto, siamo positivamente sorpresi da come i browser riescano spesso a mettere delle pezze dove i server web creano vulnerabilità.

Il risultato è che è possibile scrivere codici JavaScript in questo campo, che il server invia al browser. Il browser poi esegue questo codice. Gli eventuali aggressori possono sfruttare tali cross-site scripting (XSS) e, tra le altre cose, rubare le credenziali di accesso. Il problema può essere dimostrato inserendo la stringa "Alert

Un precedente vulnerabilità XSS in PayPal, che poteva essere sfruttata utilizzando voci utente non sufficientemente filtrati, è stata scoperta nel mese di marzo 2012. Allora come oggi, la società si faceva una grande pubblicità in Germania come un "sistema di pagamento testato e sicuro" grazie alla certificazione rilasciata da TÜV Saarland. Nel corso dell'ultimo esercizio, PayPal ha registrato un fatturato globale di 1,5 miliardi dollari.

Leggi altri articoli

👋 Partecipa alla discussione! Scopri le ultime novità che abbiamo riservato per te!

0 Commenti

⚠️ Stai commentando come Ospite . Vuoi accedere?


Questa funzionalità è attualmente in beta, se trovi qualche errore segnalacelo.

Segui questa discussione
Advertisement

Non perdere gli ultimi aggiornamenti

Newsletter Telegram

I più letti di oggi


  • #1
    Uso della VRAM ridotto all'osso con la nuova versione del DLSS
  • #2
    Blocco diesel Euro 5 Nord Italia: tutto quello che c'è da sapere
  • #3
    Uno YouTuber ha acquistato uno dei marchi più famosi del retrogaming
  • #4
    Questa è la tech che salverà le schede video da 8GB
  • #5
    Amazon Prime Day, quand'è, quanto dura e come trovare le offerte migliori
  • #6
    Helldivers 2 trasforma le recensioni negative in DLC
Articolo 1 di 5
Shelly Gen4 e Plus: piccoli dispositivi ma grandi alleati per una casa smart
Sono arrivati i nuovi Shelly Gen4: soluzioni smart con controllo dei consumi per una casa intelligente come mai prima d’ora.
Immagine di Shelly Gen4 e Plus: piccoli dispositivi ma grandi alleati per una casa smart
Leggi questo articolo
Articolo 2 di 5
Roborock Q7 M5, robot aspirapolvere per chi vuole spendere poco | Test & Recensione
Un robot con aspirazione potente e navigazione LiDAR che offre un buon compromesso tra funzionalità avanzate e prezzo accessibile.
Immagine di Roborock Q7 M5, robot aspirapolvere per chi vuole spendere poco | Test & Recensione
Leggi questo articolo
Articolo 3 di 5
Crea un’oasi zen con LEGO Botanicals: PREZZI SHOCK su Amazon!
Aggiungi l’eleganza senza tempo dell’albicocco giapponese o delle rose al tuo spazio a meno di 50€, ma affrettati: promozione limitata!
Immagine di Crea un’oasi zen con LEGO Botanicals: PREZZI SHOCK su Amazon!
Leggi questo articolo
Articolo 4 di 5
Da oggi bollette più facili da leggere: come funziona lo “scontrino dell’energia"
Dal 1° luglio arriva il nuovo formato delle bollette energetiche: più chiare, trasparenti e con frontespizio standardizzato per tutti i fornitori.
Immagine di Da oggi bollette più facili da leggere: come funziona lo “scontrino dell’energia"
1
Leggi questo articolo
Articolo 5 di 5
Il phon giusto può cambiare la giornata, anche quando fuori ci sono 40°
Durante le calde giornate estive, può capitare di voler asciugare i capelli all’aria aperta, ma con questo asciugacapelli non vorrete più farlo.
Immagine di Il phon giusto può cambiare la giornata, anche quando fuori ci sono 40°
Leggi questo articolo
Advertisement
Advertisement

Advertisement

Footer
Tom's Hardware Logo

 
Contatti
  • Contattaci
  • Feed RSS
Legale
  • Chi siamo
  • Privacy
  • Cookie
  • Affiliazione Commerciale
Altri link
  • Forum
Il Network 3Labs Network Logo
  • Tom's Hardware
  • SpazioGames
  • CulturaPop
  • Data4Biz
  • TechRadar
  • SosHomeGarden
  • Aibay

Tom's Hardware - Testata giornalistica associata all'USPI Unione Stampa Periodica Italiana, registrata presso il Tribunale di Milano, nr. 285 del 9/9/2013 - Direttore: Andrea Ferrario

3LABS S.R.L. • Via Pietro Paleocapa 1 - Milano (MI) 20121
CF/P.IVA: 04146420965 - REA: MI - 1729249 - Capitale Sociale: 10.000 euro

© 2025 3Labs Srl. Tutti i diritti riservati.