PayPal 修復用戶錢包貨幣轉換器中的 XSS 漏洞

PayPal已修復了一個反映的跨站點腳本（XSS）漏洞，該漏洞是在2020年2月19日用戶錢包的貨幣轉換器功能中發現的。

漏洞賞金獵人“ Cr33pb0y ”通過HackerOne平臺報告了“反射的XSS和CSP繞過”漏洞。

“發現用于貨幣轉換的端點存在反映的XSS漏洞，在該漏洞中，URL中的參數沒有正確地清理用戶輸入。這可能導致惡意用戶注入惡意JavaScript，HTML或瀏覽器可能執行的任何其他類型的代碼。惡意腳本通常會在另一個用戶的瀏覽器頁面DOM中執行，而無需他們的知情或同意。” 讀取PayPal發布的摘要。

PayPal為用戶在貨幣兌換功能中輸入的內容實施了其他驗證檢查，然后才返回到響應中。

根據PayPal所說，該漏洞存在于貨幣轉換端點中，是由于未能正確清理URL中參數中的輸入而引起的。

攻擊者可能已經利用該漏洞注入了將在瀏覽器中執行的惡意代碼（JavaScript，HTML或任何其他語言）。

這意味著惡意腳本通常會在另一個用戶的瀏覽器頁面文檔對象模型（DOM）中執行，而無需他們的了解或同意。

在真實的攻擊場景中，威脅行為者可以通過誘騙受害者單擊特制鏈接來觸發漏洞。

惡意負載可能會執行以執行多種惡意活動，例如竊取Cookie和會話令牌。