Sicurezza

PayPal di nuovo vulnerabile al cross-site scripting

Un ragazzo tedesco di  17 anni, tale Robert Kugler, ha pubblicato informazioni su una vulnerabilità di tipo cross-site scripting nel sistema di pagamento PayPal. Kugler ha voluto segnalare il bug a PayPal e partecipare quindi al programma lanciato dall’azienda dal nome Bug Bounty che offre denaro a chi segnala bug di sicurezza del sito. Il programma però prevede il pagamento solo ai partecipanti che hanno 18 anni o più. Per sfogare la sua frustrazione, Kugler ha diffuso pubblicamente il bug che ha scovato. I server di PayPal, apparentemente, non riescono a controllare con sufficiente rigore le stringhe inserite nel campo di ricerca  nella versione tedesca del sito. 

Paypal ricade in vulnerabilità cross scripting, denotando un sistema di sicurezza non all'altezza di quanto ci si aspetterebbe da un sito che maneggia così tanti soldi. D'altro canto, siamo positivamente sorpresi da come i browser riescano spesso a mettere delle pezze dove i server web creano vulnerabilità.

 

Il risultato è che è possibile scrivere codici JavaScript in questo campo, che il server invia al browser. Il browser poi esegue questo codice. Gli eventuali aggressori possono sfruttare tali cross-site scripting (XSS) e, tra le altre cose, rubare le credenziali di accesso. Il problema può essere dimostrato inserendo la stringa "Alert