Недавно обнаруженная дыра в PayPal зияла несколько лет

Компания Netcraft на днях сделала заявление о том, что CSS-уязвимость на сайте платежной системы PayPal, обнаруженная в прошлом месяце, существовала как минимум два года!

Как передает Xakep Online, еще в июне 2004 года один из исследователей пытался рассказать руководству PayPal о наличии дыры на сайте, однако представитель конторы даже не понимал, что такое межсайтовый скриптинг. Кроме того, в соответствии с политикой безопасности компании, он не мог дать никакого адреса электронной почты для демонстрации уязвимости.

Господин Крис Марлоу, обнаруживший уязвимость, не нашел понимания и опубликовал информацию с ее описанием на своем сайте, но и тогда PayPal ее не исправила. Уязвимость была прикрыта лишь после недавнего доклада Netcraft, то есть через два года с момента обнаружения.