Une faille XSS dans PayPal découverte par Bitdefender

Les chercheurs de Bitdefender ont découvert une faille de type XSS présente dans le site Paypal. La faille pourrait permettre à des attaquants d’uploader des fichiers malveillants afin de réaliser des attaques contre des clients Paypal.

Une faille XSS dans PayPal découverte par Bitdefender

Le problème réside dans la façon dont PayPal traite et chiffre les URL qui vont chercher les fichiers uploadés. Notre Proof of Concept utilise un fichier XML au format HTML, l’uploade via la rubrique « Créer une facture » et effectue un CBC (Cypher Block Chaining, chaînage de blocs de chiffrement), puis attaque les URL qui obtiennent les fichiers uploadés depuis les serveurs de PayPal.
Parce que le paramètre « ID » pour chaque fichier uploadé prend la valeur d’un texte chiffré codé en base64 et utilise le mode de chiffrement CBC, l’attaque implique de changer une série d’octets de chaque bloc de chiffrement afin de forcer le serveur PayPal à exécuter la charge utile malveillante.

Le POC est disponible ici : Faille XSS dans Paypal

La faille a été corrigée par PayPal.

Une sélection d'articles qui pourraient vous intéresser ...

Une faille XSS dans PayPal découverte par Bitdefender  Une faille XSS dans PayPal découverte par Bitdefender
Ne manquez plus rien!
Abonnez-vous dès maintenant aux infos de SOSVirus et recevez chaque mois, le meilleur de la sécurité informatique : news, tutos, hacking, alerte ransomware, spam alerte ...

2017-01-27T21:15:39+00:00 Tags: , , |0 Comments

Laisser un commentaire