Эксперты представили концепт атаки на платежный сервис. Исследователи Bitdefender сообщили об обнаружении XSS-уязвимости в PayP@l, которая позволяет хакерам загружать вредоносные файлы для атак на зарегистрированных пользователей платежного сервиса. Брешь существует из-за того, как обрабатывается и расшифровывается URL, по которым передаются загружаемые файлы. Эксперты представили концепт атаки с использованием XML-файла в формате HTML, загружаемого через раздел «Создать инвойс» («Create an Invoice»). Путем манипуляций с URL, который загружает файлы с серверов PayP@l, исследователи смогли выполнить вредоносный код в браузере. После создания файла эксперты модифицировали ссылку на него и внесли изменения, вызывавшие ошибку. Определив весь путь к XSS-уязвимости, эксперты загрузили второй файл с заданным именем, который был разделен на блоки по 16 символов. В связи с тем, что изменения, внесенные в каждый из них, затрагивают последующие блоки, входной файл очень отличался от первоначального. Добившись ответа от PayP@l, исследователи получили ссылку, которую можно использовать в последующих атаках. Эксплуатация уязвимости возможна только через браузер Firefox. До настоящего времени какие-либо свидетельства подобных атак обнаружены не были.
