17-летний немецкий подросток обиделся на Paypal, потому что они не выплатили ему вознаграждение за найденную уязвимость. Так что он опубликовал ее в открытом доступе.
Речь идет об XSS-уязвимости на сайте Paypal.com. Вызвать баг можно через встроенную функцию поиска, если вставить туда следующий Javascript-код.
';alert(String.fromCharCode(88,83,83))//';alert(String.fromCharCode(88,83,83))//"; alert(String.fromCharCode(88,83,83))//";alert(String.fromCharCode(88,83,83))//-- </SCRIPT>">'><SCRIPT>alert(String.fromCharCode(88,83,83)) </SCRIPT>
Страница поиска: https://www.paypal.com/de/cgi-bin/searchscr?cmd=_sitewide-search
Роберт Куглер (Robert Kugler) пишет, что он отправил информацию об уязвимости, следуя инструкциям на сайте Paypal для профессионалов, которые специализируются на поиске багов. Но вскоре получил ответ, что «участник программы вознаграждения Bug Bounty Program должен быть не моложе 18-ти лет», так что он дисквалифицируется.
Особенно обидно, что в аналогичных программах от Google и Mozilla даже школьники могут принимать участие и получать заслуженные награды с согласия родителей.
