18/05/2008-20:37
Финский ИТ-специалист Гарри Синтонен обнаружил кросс-скриптинговую уязвимость в популярной платежной системе PayPal.
По его словам, обнаруженная уязвимость позволяет злоумышленникам проводить "весьма вероятные нападения" за счет добавления на сайт любого хакерского контента, а также похищения сведений, оставляемых пользователями.
Уязвимость усугубляется тем фактом, что она затрагивает систему сертификатов безопасности EV SSL, недавно реализованную на PayPal. Эта система призвана убедить пользователей, что контент, который они просматривают и оставляют на PayPal является подлинным и защищенным. Исследователи из компании Netcraft отмечают, что схожая уязвимость была обнаружена на сервисе ровно 2 года назад, только тогда она касалась простых сертификатов SSL.
Синтонен сообщил о своей находке в группе обсуждения ИТ-специалистов по веб-приложениям на одном из IRC-каналов. В Netcraft говорят, что нынешняя уязвимость также является критической, так как не гарантирует безопасность при посещении https://paypal.com.
"В то время как SSL-сертификаты обеспечивают более высокий уровень безопасности при работе с сайтом, они совершенно не гарантируют отсутствие программных ошибок на нем, в том числе и от кросс-скриптинговых уязвимостией", - говорят в Netcraft.
Точных данных об уязвимости стороны пока не сообщают, однако известно, что ошибка, провоцирующая уязвимость кроется в программной начинке, которая не имеет отношения к системе сертификатов, однако полагается на нее.
"Пользователь заходит на сайт, проходит в защищенную зону, браузер, при этом, подсвечивает строку адреса зеленым цветом, говорящим о безопасности. Однако даже это не гарантирует сохранности информации", - говорит Синтонен.
