Leyendo las listas de Full disclosure llama la atención una vulnerabilidad XSS (Cross-Site Scripting) que todavía sigue presente en la web de búsqueda de PayPal:
https://www.paypal.com/es/cgi-bin/searchscr?cmd=_sitewide-search
Simplemente para reproducirla hay que insertar el siguiente javascript en el cuadro de búsqueda:
Y digo que llama la atención porque Robert Kugler es un estudiante alemán de 17 años que no ha podido optar al programa de recompensas de Paypal por ser menor de edad. Algo que conviene recapacitar puesto que cada vez los investigadores de seguridad son más jóvenes. Quizás sería conveniente pensar en otras formas para que los menores de 18 años puedan acceder a la compensación, ya sea mediante un representante o mediante otras vías...
https://www.paypal.com/es/cgi-bin/searchscr?cmd=_sitewide-search
Simplemente para reproducirla hay que insertar el siguiente javascript en el cuadro de búsqueda:
';alert(String.fromCharCode(88,83,83))//';alert(String.fromCharCode(88,83,83))//";
alert(String.fromCharCode(88,83,83))//";alert(String.fromCharCode(88,83,83))//--
</SCRIPT>">'><SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT>
Y digo que llama la atención porque Robert Kugler es un estudiante alemán de 17 años que no ha podido optar al programa de recompensas de Paypal por ser menor de edad. Algo que conviene recapacitar puesto que cada vez los investigadores de seguridad son más jóvenes. Quizás sería conveniente pensar en otras formas para que los menores de 18 años puedan acceder a la compensación, ya sea mediante un representante o mediante otras vías...
A mi me dicen que todos los fallos que envío ya han sido reportados, y siguen estando presentes por décadas.
ResponderEliminarpuf! pues PayPal debería tomarse estas cosas en serio... no estaría de más que al menos te dieran el contacto de la persona que lo ha reportado antes (con su consentimiento claro está)o una prueba fehaciente de que realmente ha sido informada con antelación...
ResponderEliminarExacto! Eso mismo les dije, pero no revelan a 'supuestos' reportadores. En temas de bug-bounties, también hay otras grandes compañías como Google involucradas en 'malas prácticas':
ResponderEliminarhttp://twitter.com/sevikamil
pues al final van a conseguir que la gente se plantee acudir al mercado negro... :-(
ResponderEliminarTotalmente cierto, Vicente. Y aquí dejo la prueba de ello:
ResponderEliminarhttp://img819.imageshack.us/img819/8236/paypalbugbountyprogram.png
A mí me da un poco igual si tienen problemas con la seguridad de las cuentas. Para pagar online utilizo tarjetas de prepago tipo paysafecard y ya está. Saludos
ResponderEliminar