Falla XSS in PayPal.com

Di recente è stata trovata una vilnerabilità di tipo cross site scripting (XSS) sul sito di PayPal.com. La vulnerabilità è abbastanza grave e potrebbe compromettere i dati collegati agli account degli utenti.

La falle non è estesa a tutto il sito, ma è suscettibile a tutte le richieste /xclick/business alla homepage di PP.

Una stringa con cui potrebbe essere effettuato un attacco, potrebbe avere questa connotazione.

https://www.paypal.com/xclick/business=
<script>alert(document.cookie);</script>

Sfortunatamente le falle XSS sono molto frequenti nel panorama delle Web App, ma in questo caso lo script viene eseguito in una sessione web di fiducia e le informazioni, come ad esempio i cookie, sono disponibili all'utente nel contesto di protezione del sito web.

Fonte: praetorianprefect | seclists