Гарри Синтонен обнаружил кросс-скриптинговую уязвимость в платежной системе PayPal. Как говорит Гарри Синтонен уязвимость, которую он обнаружил, позволяет злоумышленникам проводить "весьма вероятные нападения" за счет добавления на сайт хакерского контента, а так же воровать сведения которые оставляют пользователи системы PayPal.Уязвимость затрагивает системы сертификатов безопасности EV SSL, которая недавно была реализована в системе PayPal. Данная система убеждает пользователей, что контент, который они просматривают и оставляют в системе PayPal является подлинным и защищенным. Схожая уязвимость была обнаружена в системе PayPal ровно два года назад, только тогда она касалась простых сертификатов SSL, сообщают исследователи компании Netcraft.
В компании Netcraft говорят, что нынешняя уязвимость является критической, так как не гарантирует ни какой безопасности при посещении системы PayPal. Гарри Синтонен сообшил о своей находке на одном из IRC-каналов в группе обсуждения IT- специалистов по веб-приложениям.
Как говорят в компании Netcraft:
"В то время как SSL-сертификаты обеспечивают более высокий уровень безопасности при работе с сайтом, они совершенно не гарантируют отсутствие программных ошибок на нем, в том числе и от кросс-скриптинговых уязвимостей".
Стороны пока не сообщают точных данных об уязвимости системы, но некоторую информацию все-таки дают. Ошибка которая провоцирует уязвимость кроется в программной начинке, которая не имеет ни какого отношения к системе сертификатов, но тем ни менее полагается на нее.
Гарри Синтонен говорит:
"Пользователь заходит на сайт, проходит в защищенную зону, браузер, при этом, подсвечивает строку адреса зеленым цветом, говорящим о безопасности. Однако даже это не гарантирует сохранности информации".
Комментариев нет:
Отправить комментарий