1. По причине блокировки роскомнадзором раз в несколько месяцев мы меняем доменное имя. Чтоб не потерять новую ссылку просто зарегистрируйтесь и вы получите сообщение о замене на свою почту!
    Скрыть объявление
Скрыть объявление
По причине блокировки роскомнадзором раз в несколько месяцев мы меняем доменное имя. Чтоб не потерять новую ссылку просто зарегистрируйтесь и вы получите сообщение о замене на свою почту!
Скрыть объявление
Проводите сделки через Гарант-сервис чтоб полностью обезопасить свои покупки.

17-летний подросток опубликовал 0day XSS в PayPal

Тема в разделе "Новости в мире кардинга", создана пользователем Devil13, 27 май 2013.

  1. Devil13

    Devil13 dark-shadow Администратор

    Сообщения:
    778
    Симпатии:
    0
    Баллы:
    16
    Robert Kugler, 17-летний студент из Германии, который интересуется компьютерной безопасностью, нашел уязвимость на сайте paypal[dot]com, и решил сообщить о ней в рамках программы по награждению за найденные баги. Однако, ему было отказано, т.к. он не достиг 18 лет. В ответ на это, он опубликовал уязвимость на seclists[dot]org.

    Вот что он пишет:



    Quote: Hello all!

    I'm Robert Kugler a 17 years old German student who's interested in
    securing computer systems.

    I would like to warn you that PayPal[dot]com is vulnerable to a Cross-Site
    Scripting vulnerability!
    PayPal Inc. is running a bug bounty program for professional security
    researchers.

    paypal[dot]com/us/webapps/mpp/security/reporting-security-issues

    XSS vulnerabilities are in scope. So I tried to take part and sent my find
    to PayPal Site Security.

    The vulnerability is located in the search function and can be triggered
    with the following javascript code:

    ';alert(String.fromCharCode(88,83,83))//';alert(String.fromCharCode(88,83,83))//";
    alert(String.fromCharCode(88,83,83))//";alert(String.fromCharCode(88,83,83))//--
    </SCRIPT>">'><SCRIPT>alert(String.fromCharCode(88,83 ,83))</SCRIPT>

    paypal[dot]com/de/cgi-bin/searchscr?cmd=_sitewide-search

    Screenshot: picturepush[dot]com/public/13144090

    Unfortunately PayPal disqualified me from receiving any bounty payment
    because of being 17 years old…

    PayPal Site Security:

    «To be eligible for the Bug Bounty Program, you *must not*:
    … Be less than 18 years of age.If PayPal discovers that a researcher does
    not meet any of the criteria above, PayPal will remove that researcher from
    the Bug Bounty Program and disqualify them from receiving any bounty
    payments.»

    I don’t want to allege PayPal a kind of bug bounty cost saving, but it’s
    not the best idea when you're interested in motivated security
    researchers…

    Best regards,

    Robert Kugler

    К слову, подобные программы от Mozilla и Google позволяют получить вознаграждение участникам, не достигшим 18 лет, с согласия родителей.

    habrahabr[dot]ru/post/181013/
    Devil13, 27 май 2013
    #1

Поделиться этой страницей