Peinliche Sicherheitslücke bei PayPal


“Sicherererer” ist was anderes. Wie Heise Security heute berichtete, hat ein Leser desselbigen Dienstes eine Lücke auf der Website des Bezahldienstes PayPal entdeckt, durch die Code eingeschleust werden konnte. So hätte beispielsweise durch ein abgebrochenes JavaScript als Sucheingabe einen Dialog auslösen – oder schlimmer: Zugangsdaten abfangen können.

Nach bisherigen Erkenntnissen war nur das Suchformular betroffen.

Sogenannte Cross-Site-Scripting-Lücken entstehen, wenn Benutzereingaben auf einer Website nicht gefiltert werden. Handelt es sich bei solchen Eingaben um Code, beispielsweise um JavaScript-Code:


" alert("Hallo Welt!")

Bei einfach geskripteten PHP-basierten Sites funktionieren auch Eingaben wie:


?><?php echo "Hallo Welt"; ?>

In der Vergangenheit ließen sich auch oft Websites durch Manipulation der URLs modifizieren, weil beispielsweise Pfade zu einzubindenden Dateien geändert werden konnten:

http://www.example.org/?site=impressum.php

Websites, die sich derart leicht manipulieren lassen, können mit relativ wenig Aufwand genutzt werden, um sensible Daten abzufangen.

Weil das Thema XSS (Cross Site Scripting) bereits seit Jahren immer wieder aufgegriffen wird und seit langem gute fertige Klassen und Module für alle mehr und weniger gängigen Programmiersprachen verfügbar sind, ist es gleich mehrfach peinlich für PayPal, dass ein überall präsentes Formularfeld genutzt werden kann, um eine Website zu manipulieren. Obendrein wirbt PayPal seit längerem intensiv mit hoher Sicherheit.