XSS-lek in PayPal site

Op de website van betaaldienst PayPal kon via het zoekveld externe code worden geïnjecteerd, en zo mogelijk gebruikersdata worden bemachtigd. PayPal heeft het gênante lek gedicht.

PayPal.com was tot voor kort kwetsbaar voor cross site scripting (xss), het injecteren van externe code in een website. Doordat de betaaldienst gebruikersinput in het zoekveld niet goed filterde, kon kwaadaardige code worden geïnjecteerd en uitgevoerd, meldt Heise Security.



Proof of concept van XXS-lek op PayPal.com. Zie grotere afbeelding.

Hierdoor kan een hacker in potentie doordringen tot de database van PayPal.com, en zo persoonsgegevens en financiële data oogsten. Kort na melding heeft PayPal het gat gedicht.

Gênant en gevaarlijk
XSS-lekken zijn een zeer veel voorkomend fenomeen. Over de ernst van XSS-kwetsbaarheden wordt gedebatteerd. Voor een grote, cruciale en beveiligde betaaldienst als PayPal is het sowieso zeer gênant.