![[SECURITY] PayPal Stored XSS](/upload/Paypal-icon.png){kind=icon}
Nowoodkryta podatność w systemie transakcyjnym PayPal pozwala na kradzież Twoich pieniędzy. Odkrywca luki Ebrahim Hegazy, zauważył lukę w formularzu płatności opis krok po kroku:
- Złodziej uruchamia własny sklep internetowy, lub zamieszcza złośliwy kod na stronie istniejącego już sklepu.
- Następnie modyfikuje domyślny przycisk „CheckOut” na adres zawierający atak XSS.
- Nieświadomy użytkownik PayPal’a odwiedza zarażoną stronę i używa przycisku „CheckOut”.
- Strona bezpiecznych transakcji uruchamia się prawie poprawnie, ponieważ ukryty w adresie kod XSS powoduje podmianę strony na warstwę ze stroną phishing’ową.
- Użytkownik podaje dane swojej karty kredytowej, aby dokończyć transakcję zamówioną w serwisie, z którego tutaj trafił.
- Kliknięcie przycisk „Submit Payment” niezależnie od kwoty zamówienia wywołuje zdarzenie po stronie PayPal -> przelew środków na konto złodzieja (kwota ustalona w kodzie XSS’a).
Kończąc tego newsa dobrym akcentem, zaznaczmy że odkrywca otrzymał nagrodę w programie Bug Bounty w wysokości 750$.