Peinliche Sicherheitslücke bei PayPal


“Sicherererer” ist was anderes. Wie Heise Security heute berichtete, hat ein Leser desselbigen Dienstes eine Lücke auf der Website des Bezahldienstes PayPal entdeckt, durch die Code eingeschleust werden konnte. So hätte beispielsweise durch ein abgebrochenes JavaScript als Sucheingabe einen Dialog auslösen – oder schlimmer: Zugangsdaten abfangen können.

Nach bisherigen Erkenntnissen war nur das Suchformular betroffen.


Sogenannte Cross-Site-Scripting-Lücken entstehen, wenn Benutzereingaben auf einer Website nicht gefiltert werden. Handelt es sich bei solchen Eingaben um Code, beispielsweise um JavaScript-Code:

" alert("Hallo Welt!")

Bei einfach geskripteten PHP-basierten Sites funktionieren auch Eingaben wie:

?><?php echo "Hallo Welt"; ?>

In der Vergangenheit ließen sich auch oft Websites durch Manipulation der URLs modifizieren, weil beispielsweise Pfade zu einzubindenden Dateien geändert werden konnten:

http://www.example.org/?site=impressum.php

Weiterlesen