Исследователи безопасности из 0xlabs сообщили об обнаружение XSS-уязвимости на официальном веб-сайте платежной системы PayPal ("www.paypal.com"). Уязвимость связана с недостаточной проверкой входных данных параметра "on0", позволяющей произвести внедрение произвольного HTML или JavaScript-кода через специально сформированный URL. Ограничением внедрения является длина строки в 23 символа. При обращение в службу поддержки PayPal, исследователи получили ответ, что о данной уязвимости уже было сообщено ранее другими исследователями. Несмотря на это, уязвимость остается незакрытой. Подобная уязвимость может быть использована в фишинг-атаках, поэтому пользователям следует внимательней относиться к открываемым адресам веб-страниц системы PayPal, даже в том случае, если домен является корректным.
Опубликовано: 06-06-2013
Подробнее:
http://uinc.ru/news/oa719.html