PayPal разрешал добавлять вредоносные изображения на страницы платежей

Независимому исследователю по имени Aditya K. Sood выплатили 1000$ от PayPal. Такая щедрость оказалась не случайной — Адитья нашел уязвимость в системе, из-за которой стало возможно встроить картинку с вредоносным кодом на страницу платежей.

Проблему нашли зимой

Данную уязвимость Сууд обнаружил в январе, но только сейчас компания решила проблему. Разработчики также сообщили, что специалист не просил награду, но когда уязвимость устранили, решили его наградить.

Как обнаружили баг

Во время работы с PayPal Адитья обратил внимание на ссылки страниц оплаты, которые создаются пользователями. Оказалось, что в ссылке есть «image_url», в который можно встроить свою ссылку и указать изображение с удаленного хостинга.

Ну и что?

Сторонняя платежная страница PayPal могла быть использована для распространения вредоносной картинки. Сууд показал работу бага, ему удалось отобразить на платежной странице картинку со стороннего сервера.

Чтобы воспользоваться уязвимостью, достаточно заставить жертву кликнуть по нужной ссылке, которая якобы указывает на paypal.com


Источник публиковать не буду, потому что рвс.

P.S. Теперь мы знаем как зовут ультра ксерокса.