Menü
Security

l+f: Paypal kämpft mit XSS-Problemen

Nur weil keiner mehr über Cross Site Scripting berichtet ist es längst nicht tot.

Von
vorlesen Drucken Kommentare lesen

In letzter Zeit ist es stiller geworden um Cross Site Scripting. Das bedeutet längst nicht, dass das Problem aus der Welt geschafft wäre. Selbst auf Seiten, bei denen man erwarten sollte, dass sie das langsam mal in den Griff bekommen, tauchen immer wieder XSS-Lücken auf. Paypal etwa fixte in den letzten Wochen allein zwei davon. Eine XSS-Lücke entdeckte Sebastien Lekies in der Sub-Domain c.paypal.com. Noch heftiger ist die von Patrik Fehrenbach über das Paypal-Bug-Bounty-Programm eingereichte XSS-Lücke: Sie betrifft den Query-String der Suchfunktion in der Haupt-Domain – also die erste Stelle, wo man danach suchen würde. Man fragt sich echt, ob die zugunsten der Bug-Bounties die interne Qualitätssicherung abgeschafft haben.

Ein solcher XSS-Bug in der Suchfunktion gefährdet die Sicherheit alle Paypal-Nutzer.

lost+found: Die heise-Security-Rubrik für Kurzes und Skuriles aus der IT-Security (ju)