miércoles, 29 de mayo de 2013

Vulnerabilidad XSS en PayPal.com

Leyendo las listas de Full disclosure llama la atención una vulnerabilidad XSS (Cross-Site Scripting) que todavía seguia presente el 27/05/2013 en la web de búsqueda de PayPal:

https://www.paypal.com/es/cgi-bin/searchscr?cmd=_sitewide-search


Simplemente para reproducirla hay que insertar el siguiente javascript en el cuadro de búsqueda:

';alert(String.fromCharCode(88,83,83))//';alert(String.fromCharCode(88,83,83))//";
alert(String.fromCharCode(88,83,83))//";alert(String.fromCharCode(88,83,83))//--

    </SCRIPT>">'><SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT>

Y digo que llama la atención porque Robert Kugler es un estudiante alemán de 17 años que no ha podido optar al programa de recompensas de Paypal por ser menor de edad. Algo que conviene recapacitar puesto que cada vez los investigadores de seguridad son más jóvenes. Quizás sería conveniente pensar en otras formas para que los menores de 18 años puedan acceder a la compensación, ya sea mediante un representante o mediante otras vías...

(Fuente | HackPlayers)
en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)