Niecodzienna historia XSS w PayPal.com

27 maja 2013, 22:16 | Aktualności | komentarzy 6
Tagi: , ,
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Pewien siedemnastoletni uczeń odnalazł w popularnym PayPal.com podatność typu XSS. Nastolatek postanowił więc skorzystać z działającego w tym serwisie płatnego programu dla łowców błędów. Niestety, bezskutecznie.

Robert Kugler odnalazł podatność w funkcji wyszukiwania:

  • https://www.paypal.com/de/cgi-bin/searchscr?cmd=_sitewide-search

Chcąc skorzystać z prowadzonego przez serwis programu nagradzania odpowiedzialnego ujawnienia podatności (ang. responsible disclosure), chłopak przekazał wszystkie szczegóły zespołowi bezpieczeństwa PayPal. Niestety, zgłoszenie Roberta zostało odrzucone ze względu na jego… wiek, a otrzymana informacja zwrotna była następująca.

„To be eligible for the Bug Bounty Program, you *must not*:
… Be less than 18 years of age. If PayPal discovers that a researcher does not meet any of the criteria above, PayPal will remove that researcher from the Bug Bounty Program and disqualify them from receiving any bounty payments.”

W efekcie Robert postanowił upublicznić swe odkrycie, opisując całą historię wraz z kodem PoC na liście Full Disclosure.

XSS w serwisie PayPal -- demonstracja

XSS w serwisie PayPal — demonstracja
źródło: Robert Kugler

Niedopuszczanie najmłodszych do udziału w programach dla łowców błędów nie wydaje się być dobrym pomysłem. Zdarza się, że to właśnie nastoletni badacze dokonują spektakularnych odkryć. Co więcej, inne organizacje i firmy przekazują nagrody niezależnie od młodego wieku uczestnika.

Szczególnie więc na polu nowoczesnych technologii, dziwi ignorowanie potencjalnego wkładu młodych badaczy i trudno znaleźć jakiekolwiek przesłanki uzasadniające regulamin PayPala w tym zakresie. Na coraz szerszym rynku programów typu Bug Bounty w przyszłości może więc zabraknąć miejsca dla tych stosujących niezrozumiałe zasady gry.

Wojciech Smol, (wojciech.smol<at>sekurak.pl)

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. redeemer
    Odpowiedz
    • @redeemer,
      Zgadza się, czytałem zawartość tej stronki. Jednak z tego co rozumiem, to cytat podany przez Roberta pochodzi z odpowiedzi, którą otrzymał po zgłoszeniu.

      Odpowiedz
  2. @Wojciech Smol:
    Tak, jednak IMHO taka informacja powinna być u nich na oficjalnej stronie „Bug Bounty”. Co ciekawe to przedstawiciel PayPal broniąc się, twierdzi również, że dziura była już zgłoszona wcześniej http://www.techweekeurope.co.uk/news/paypal-17-year-old-bug-bounty-117433 Pytanie tylko czy to prawda, bo załatali ją dopiero jak się zrobił „szum” (a skomplikowane to raczej nie było) .

    Odpowiedz
    • @redeemer,
      Trudno będzie to rozstrzygnąć. W każdym razie skoro w tym ogólnodostępnym regulaminie nie ma mowy o wymaganym wieku minimalnym, to tym łatwiej zrozumieć rozgoryczenie Roberta.

      Odpowiedz
  3. Marek

    PayPal jest firmą krzakiem bez jasno określonej siedziby. Blokuje ludziom konta za byle co. Bez możliwości odzyskania pieniędzy które na tych kontach były. Nie jest ważne ile ich tam było. Dlatego nigdy nie trzymam tam pieniędzy. Jest wpłata? Jest natychmiastowa wypłata ;) Po tym co zdążyłem na ich temat przeczytać wcale nie dziwi mnie postawa przedstawiciela tej pseudo płatności.

    Odpowiedz
  4. Do dyskusji włączył się Shubham Shah, który najwyraźniej rzeczywiście zgłosił ten sam problem wcześniej: http://seclists.org/fulldisclosure/2013/May/211

    Co jednak najciekawsze, on również nie otrzymał wynagrodzenia, ponieważ rzekomo ktoś inny go uprzedził, nie podano mu jednak żadnych szczegółów.

    Ostatecznie wygląda więc na to, że Paypal naprawdę powinien mocno popracować nad przejrzystością całego programu…

    Odpowiedz

Odpowiedz