- Регистрация
- 26.02.15
- Сообщения
- 314
- Реакции
- 814
- Депозит
- 0
- Покупок
-
5
- Продаж
-
4
Эксперты представили концепт атаки на платежный сервис.
Исследователи Bitdefender сообщили об обнаружении XSS-уязвимости в PayP@l, которая позволяет хакерам загружать вредоносные файлы для атак на зарегистрированных пользователей платежного сервиса. Брешь существует из-за того, как обрабатывается и расшифровывается URL, по которым передаются загружаемые файлы.
Эксперты представили концепт атаки с использованием XML-файла в формате HTML, загружаемого через раздел «Создать инвойс» («Create an Invoice»). Путем манипуляций с URL, который загружает файлы с серверов PayP@l, исследователи смогли выполнить вредоносный код в браузере.
После создания файла эксперты модифицировали ссылку на него и внесли изменения, вызывавшие ошибку. Определив весь путь к XSS-уязвимости, эксперты загрузили второй файл с заданным именем, который был разделен на блоки по 16 символов. В связи с тем, что изменения, внесенные в каждый из них, затрагивают последующие блоки, входной файл очень отличался от первоначального. Добившись ответа от PayP@l, исследователи получили ссылку, которую можно использовать в последующих атаках.
Эксплуатация уязвимости возможна только через браузер Firefox. До настоящего времени какие-либо свидетельства подобных атак обнаружены не были.
Последнее редактирование:
