PayPal 修复用户钱包货币转换器中的 XSS 漏洞

PayPal已修复了一个反映的跨站点脚本（XSS）漏洞，该漏洞是在2020年2月19日用户钱包的货币转换器功能中发现的。

漏洞赏金猎人“ Cr33pb0y ”通过HackerOne平台报告了“反射的XSS和CSP绕过”漏洞。

“发现用于货币转换的端点存在反映的XSS漏洞，在该漏洞中，URL中的参数没有正确地清理用户输入。这可能导致恶意用户注入恶意JavaScript，HTML或浏览器可能执行的任何其他类型的代码。恶意脚本通常会在另一个用户的浏览器页面DOM中执行，而无需他们的知情或同意。” 读取PayPal发布的摘要。

PayPal为用户在货币兑换功能中输入的内容实施了其他验证检查，然后才返回到响应中。

根据PayPal所说，该漏洞存在于货币转换端点中，是由于未能正确清理URL中参数中的输入而引起的。

攻击者可能已经利用该漏洞注入了将在浏览器中执行的恶意代码（JavaScript，HTML或任何其他语言）。

这意味着恶意脚本通常会在另一个用户的浏览器页面文档对象模型（DOM）中执行，而无需他们的了解或同意。

在真实的攻击场景中，威胁行为者可以通过诱骗受害者单击特制链接来触发漏洞。

恶意负载可能会执行以执行多种恶意活动，例如窃取Cookie和会话令牌。