Крис Марлоу пытался предупредить PayPal об обнаруженной уязвимости еще в июне 2004 года, но представитель PayPal, с которым он общался, не понимал что такое XSS уязвимость.
В прошлом месяце компания Netcraft сообщила о наличии
XSS уязвимости в сайте PayPal, которая активно использовалась против пользователей платежной системы. Однако, как оказалось, уязвимость в странице пожертвования для временно отстраненных пользователей, была обнаружена еще 2 года назад.
Крис Марлоу пытался предупредить PayPal об обнаруженной уязвимости еще в июне 2004 года, но представитель PayPal, с которым он общался, не понимал что такое XSS уязвимость. Так как политика компании запрещает раскрывать адреса электронной почты сотрудников, Крис не смог продемонстрировать возможность эксплуатации уязвимости. В результате Крис раскрыл подробности уязвимости на своем Web сайте, однако PayPal никак не отреагировал на эту публикацию.
Уязвимость была исправлена лишь в прошлом месяце после того, как компания Netcraft сообщила о попытках обмана пользователей PayPal с помощью этой уязвимости. Однако, как стало известно securitylab.ru, до сих пор существует несколько незакрытых уязвимостей межсайтового скриптинга в сайте PayPal, например:
www.paypal.com/cgi-bin/webscr?cmd=p/gen/--></script><script>alert('www.securitylab.ru')</script>