Niecodzienna historia XSS w PayPal.com

Pewien siedemnastoletni uczeń odnalazł w popularnym PayPal.com podatność typu XSS. Nastolatek postanowił więc skorzystać z działającego w tym serwisie płatnego programu dla łowców błędów. Niestety, bezskutecznie.

Robert Kugler odnalazł podatność w funkcji wyszukiwania:

• https://www.paypal.com/de/cgi-bin/searchscr?cmd=_sitewide-search

Chcąc skorzystać z prowadzonego przez serwis programu nagradzania odpowiedzialnego ujawnienia podatności (ang. responsible disclosure), chłopak przekazał wszystkie szczegóły zespołowi bezpieczeństwa PayPal. Niestety, zgłoszenie Roberta zostało odrzucone ze względu na jego… wiek, a otrzymana informacja zwrotna była następująca.

„To be eligible for the Bug Bounty Program, you *must not*:
… Be less than 18 years of age. If PayPal discovers that a researcher does not meet any of the criteria above, PayPal will remove that researcher from the Bug Bounty Program and disqualify them from receiving any bounty payments.”

W efekcie Robert postanowił upublicznić swe odkrycie, opisując całą historię wraz z kodem PoC na liście Full Disclosure.

XSS w serwisie PayPal — demonstracja
źródło: Robert Kugler

Niedopuszczanie najmłodszych do udziału w programach dla łowców błędów nie wydaje się być dobrym pomysłem. Zdarza się, że to właśnie nastoletni badacze dokonują spektakularnych odkryć. Co więcej, inne organizacje i firmy przekazują nagrody niezależnie od młodego wieku uczestnika.

Szczególnie więc na polu nowoczesnych technologii, dziwi ignorowanie potencjalnego wkładu młodych badaczy i trudno znaleźć jakiekolwiek przesłanki uzasadniające regulamin PayPala w tym zakresie. Na coraz szerszym rynku programów typu Bug Bounty w przyszłości może więc zabraknąć miejsca dla tych stosujących niezrozumiałe zasady gry.

– Wojciech Smol, (wojciech.smol<at>sekurak.pl)