На странице сервиса онлайн-платежей PayPal нашелся еще один XSS-баг, который
хакеры могли бы использовать для кражи пользовательских паролей или cookies с
данными авторизации.
На момент публикации новости переход по ссылке на эту страницу приводит к
загрузке испорченного содержимого и появлению окна javascript, в котором
красуется надпись "Fugitif еще раз тут побывал". Редирект срабатывает и в
Internet Explorer и в Firefox. Впрочем, плагин NoScript для Firefox
автоматически блокирует загрузку страницы.
XSS остается одним из самых доступных способов преодоления защиты сайтов. При
помощи манипуляции с URL в ресурс внедряется код или контент, которые изменяют
его поведение. XSS-эксплоиты позволяют обходить проверку "same-origin",
предотвращающую попытки использования установленных доменом cookies с другого
адреса.
По нашим данным, представители PayPal в курсе сложившейся ситуации, поэтому
баг будет устранен в ближайшее время.