PayPal 修复用户钱包货币转换器中的 XSS 漏洞

Andrew 2021-02-14
专栏 - 资讯 发布于 2021-02-14 23:27:42 阅读 53 评论 0

PayPal已修复了一个反映的跨站点脚本(XSS)漏洞,该漏洞是在2020年2月19日用户钱包的货币转换器功能中发现的。

漏洞赏金猎人“ Cr33pb0y ”通过HackerOne平台报告了“反射的XSS和CSP绕过”漏洞。

“发现用于货币转换的端点存在反映的XSS漏洞,在该漏洞中,URL中的参数没有正确地清理用户输入。这可能导致恶意用户注入恶意JavaScript,HTML或浏览器可能执行的任何其他类型的代码。恶意脚本通常会在另一个用户的浏览器页面DOM中执行,而无需他们的知情或同意。” 读取PayPal发布的摘要。

PayPal为用户在货币兑换功能中输入的内容实施了其他验证检查,然后才返回到响应中。

根据PayPal所说,该漏洞存在于货币转换端点中,是由于未能正确清理URL中参数中的输入而引起的。

攻击者可能已经利用该漏洞注入了将在浏览器中执行的恶意代码(JavaScript,HTML或任何其他语言)。

这意味着恶意脚本通常会在另一个用户的浏览器页面文档对象模型(DOM)中执行,而无需他们的了解或同意。

在真实的攻击场景中,威胁行为者可以通过诱骗受害者单击特制链接来触发漏洞。

恶意负载可能会执行以执行多种恶意活动,例如窃取Cookie和会话令牌。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!