l+f: Paypal kämpft mit XSS-Problemen
Nur weil keiner mehr über Cross Site Scripting berichtet ist es längst nicht tot.
In letzter Zeit ist es stiller geworden um Cross Site Scripting. Das bedeutet längst nicht, dass das Problem aus der Welt geschafft wäre. Selbst auf Seiten, bei denen man erwarten sollte, dass sie das langsam mal in den Griff bekommen, tauchen immer wieder XSS-Lücken auf. Paypal etwa fixte in den letzten Wochen allein zwei davon. Eine XSS-Lücke entdeckte Sebastien Lekies in der Sub-Domain c.paypal.com. Noch heftiger ist die von Patrik Fehrenbach über das Paypal-Bug-Bounty-Programm eingereichte XSS-Lücke: Sie betrifft den Query-String der Suchfunktion in der Haupt-Domain – also die erste Stelle, wo man danach suchen würde. Man fragt sich echt, ob die zugunsten der Bug-Bounties die interne Qualitätssicherung abgeschafft haben.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Google Ireland Limited) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
lost+found: Die heise-Security-Rubrik für Kurzes und Skuriles aus der IT-Security (ju)