PayPal durch Cross Site Scripting angreifbar – Bounty-Programm versagt

Publiziert am 26. Mai 2013, 17:15 von Klaus

wurmDer Bezahldienst PayPal ist mit einer simplen Cross-Site-Scripting-Attacke angreifbar. Das stellte der 17-Jährige deutsche Schüler Robert Kugler fest und wollte der Ebay-Tochter den Fehler über deren offizielles Bug-Bounty-Programm melden.

Bounty-Programme belohnen Entdecker von Sicherheitslücken, wenn diese gefundene Probleme nicht sofort veröffentlichen, sondern zuerst dem Programmhersteller melden, damit der die Sicherheitslücken schnell beseitigen kann.

Das Bounty-Programm von PayPal belohnt aber nur Teilnehmer, die mindestens 18 Jahre alt sind. Aus Ärger darüber publizierte er den Bug stattdessen jetzt auf der Mailingliste Full Disclosure.

Blöd gelaufen, PayPal!

Details zu der CSS-Lücke bei Paypal finden Sie bei Heise.

Über Klaus

Ich beschäftige mich schon seit 40 Jahren mit dem Internet. Meine Schwerpunkte sind Seitenerstellung, Programmierung, Analysen, Recherchen und Texte (auch Übersetzungen aus dem Englischen oder Niederländischen), Fotografie und ganz besonders die sozialen Aspekte der "Brave New World" oder in Merkel-Neusprech des "Neulands".
Dieser Beitrag wurde unter Internet, Programmierung, Sicherheit, Soziales, Wirtschaft abgelegt und mit , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

1 Antwort zu PayPal durch Cross Site Scripting angreifbar – Bounty-Programm versagt

  1. Pingback: Paypal hat seine CSS-Lücke endlich geschlossen | Klaus Ahrens: News, Tipps, Tricks und Fotos

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.