Скрыть объявление
Для безопасных сделок с продавцами рекомендуем пользоваться Гарант сервисом

В PayP@l обнаружена XSS-уязвимость.

Тема в разделе "Новости СМИ", создана пользователем Stafford, 7/9/15.

  1. Stafford

    Stafford dark-service.xyz
    VIP Внесен депозит 150$

    Сообщения:
    1.137
    Симпатии:
    395
    [​IMG]

    Эксперты представили концепт атаки на платежный сервис.

    Исследователи Bitdefender сообщили об обнаружении XSS-уязвимости в PayP@l, которая позволяет хакерам загружать вредоносные файлы для атак на зарегистрированных пользователей платежного сервиса. Брешь существует из-за того, как обрабатывается и расшифровывается URL, по которым передаются загружаемые файлы.

    Эксперты представили концепт атаки с использованием XML-файла в формате HTML, загружаемого через раздел «Создать инвойс» («Create an Invoice»). Путем манипуляций с URL, который загружает файлы с серверов PayP@l, исследователи смогли выполнить вредоносный код в браузере.

    После создания файла эксперты модифицировали ссылку на него и внесли изменения, вызывавшие ошибку. Определив весь путь к XSS-уязвимости, эксперты загрузили второй файл с заданным именем, который был разделен на блоки по 16 символов. В связи с тем, что изменения, внесенные в каждый из них, затрагивают последующие блоки, входной файл очень отличался от первоначального. Добившись ответа от PayP@l, исследователи получили ссылку, которую можно использовать в последующих атаках.

    Эксплуатация уязвимости возможна только через браузер Firefox. До настоящего времени какие-либо свидетельства подобных атак обнаружены не были.
     

Поделиться этой страницей