Menü
Update Security

PayPal wieder durch Cross-Site-Scripting angreifbar

Von
vorlesen Drucken Kommentare lesen 132 Beiträge

Wie der 17-Jährige deutsche Schüler Robert Kugler auf der Mailingliste Full Disclosure beschreibt, ist der Bezahldienst PayPal mit einer simplen Cross-Site-Scripting-Attacke angreifbar. Kugler wollte dem Unternehmen den Fehler im Zusammenhang mit dessen offiziellem Bug-Bounty-Programm melden – es belohnt jedoch nur Teilnehmer, die mindestens 18 Jahre alt sind. Aus Verärgerung darüber publizierte er den Bug nun.

Eine simple Zeichenkette trickst PayPals Eingabefilter aus und erlaubt es Angreifern, beliebigen JavaScript-Code auszuführen.

Die PayPal-Server prüfen Eingaben im Site-weiten Suchfeld offenbar nicht gründlich. Dadurch ist es möglich, in diesem Feld JavaScript-Code einzugeben, den der Server dann an den Browser schickt. Dieser führt den Code aus. Angreifer können solche XSS-Lücken (Cross-Site Scripting) nutzen, um beispielsweise Zugangsdaten abzugreifen. Zur Illustration reicht es,

"<SCRIPT>alert('Schon wieder XSS')</SCRIPT>

im Suchfeld einzugeben.

Heise-Leser werden den XSS-Trick bemerken: Trotz Paypal-URL und gültigem Paypal-Zertifikat landen hier eingegebene Login-Daten keineswegs bei Paypal, sondern bei Heise.

Vom eingeschleusten Code eines Angreifers bekommt der Anwender nichts mit, da in der Adresszeile des Browsers die korrekte PayPal-URL steht, und auch die Prüfung des SSL-Zertifikats keine Auffälligkeiten zeigt. Allerdings funktioniert der von Kugler beschriebene einfache Angriff nicht mit den Webkit-Browsern Safari und Chrome, die einen XSS-Filter enthalten. Auch der soll jedoch zu umgehen sein. Nutzer von Opera, Firefox und Internet Explorer sind durch die PayPal-Lücke in jedem Fall verwundbar. Die Mozilla-Entwickler arbeiten zwar an einem eigenen XSS-Filter, die Entwicklung scheint jedoch ins Stocken geraten zu sein.

Bereits im März 2012 war eine XSS-Lücke bei PayPal entdeckt worden, die sich durch unzulänglich gefilterte Benutzereingaben ausnutzen ließ. Damals wie heute wirbt das Unternehmen mit einem Zertifikat (PDF-Dokument) des TÜV Saarland als "Geprüftes Zahlungssystem". Es setzte im vergangenen Geschäftsjahr weltweit 1,5 Milliarden US-Dollar um.

Update 27.5.2013, 15:10: Robert Kugler hat heise security seine Mail-Korrespondenz mit PayPal vorgelegt, Daraus geht hervor, dass die Firma eine Woche Zeit hatte, die Lücke zu schließen. Sie lehnte nicht nur eine Zahlung für die Entdeckung des Bugs ab, sondern ignorierte auch Kuglers Wunsch, wenigstens als Entdecker anerkannt zu werden. Auch der Umweg über das Konto seines Vaters wurde von PayPal nicht akzeptiert. (ck)