Cryptomonnaies : PayPal corrige une vulnérabilité dans son convertisseur de devises

Cryptomonnaies : PayPal corrige une vulnérabilité dans son convertisseur de devises

Bonne nouvelle pour les passionnés de crypto-monnaie. PayPal vient de corriger une vulnérabilité XSS (Cross-Site Scripting) dans la fonction de conversion de devises de ses portefeuilles. Révélée pour la première fois le 19 février 2020, la vulnérabilité est décrite comme un «contournement XSS et CSP complet». L’erreur a été trouvée dans la fonction de conversion de devise du portefeuille PayPal sur le domaine Web PayPal.

Dans une version limitée, publiée le 10 février – presque un an après que le chercheur qui a découvert le bogue en privé a signalé le problème – PayPal a confirmé son existence au point de terminaison de conversion de devises, déclarant qu’il était causé par un manque de nettoyage approprié des données utilisateur.

Un paramètre d’URL faible n’a pas pu nettoyer les entrées, permettant aux attaquants de « vaporiser » du code JavaScript, HTML ou autre code malveillant susceptible d’exécuter le navigateur « , a déclaré le consultant. En conséquence, des charges utiles malveillantes dans le Document Object Model (DOM) la page du navigateur d’une victime pourrait-elle être déclenchée à son insu ou sans son consentement.

Une attaque XSS

Une attaque XSS

En général, les attaques XSS réfléchies reflètent les scripts d’une source Web et d’un navigateur et peuvent seulement obliger la victime à cliquer sur un lien malveillant pour le déclencher. Les charges utiles peuvent être utilisées pour voler des cookies, des jetons de session ou des informations de compte, ou peuvent être utilisées comme étape dans des attaques plus importantes.

Suite à la publication du bogue Bounty Hunter, PayPal a maintenant mis en œuvre des contrôles de validation supplémentaires et des contrôles de désinfection pour vérifier la fonction d’entrée utilisateur et de change de devises et éliminer le bogue. Une CVE n’a pas été attribuée mais la vulnérabilité a été classée comme une attaque de gravité moyenne. Le chercheur à l’origine de la découverte du bogue a reçu une récompense financière de 2 900 $.

L’année dernière, HackerOne a publié une liste des types de vulnérabilités les plus affectés et les plus récompensés signalés sur la plateforme en 2020. Les attaques XSS, le contrôle d’accès inapproprié, la divulgation d’informations et les vulnérabilités SSRF (Server-Side Request Forgery) ont pris les premières places.

Cryptomonnaies : PayPal corrige une vulnérabilité dans son convertisseur de devises
4.9 (98%) 32 votes