На странице сервиса онлайн-платежей PayPal нашелся еще один XSS-баг, который
хакеры могли бы использовать для кражи пользовательских паролей или cookies с
данными авторизации.

На момент публикации новости переход по ссылке на эту страницу приводит к
загрузке испорченного содержимого и появлению окна javascript, в котором
красуется надпись "Fugitif еще раз тут побывал". Редирект срабатывает и в
Internet Explorer и в Firefox. Впрочем, плагин NoScript для Firefox
автоматически блокирует загрузку страницы.

XSS остается одним из самых доступных способов преодоления защиты сайтов. При
помощи манипуляции с URL в ресурс внедряется код или контент, которые изменяют
его поведение. XSS-эксплоиты позволяют обходить проверку "same-origin",
предотвращающую попытки использования установленных доменом cookies с другого
адреса.

По нашим данным, представители PayPal в курсе сложившейся ситуации, поэтому
баг будет устранен в ближайшее время.

Оставить мнение