ドイツの17歳の学生でコンピューターセキュリティに興味のあるRobert Kuglerは、paypal.comで脆弱性を発見し、発見さ
れたバグに対する報奨プログラムの一部として報告することにし
ました。 しかし、彼は拒否されました 彼は18歳に達しませんでした。 これに応えて、彼は
seclists.orgに脆弱性を投稿し
ました 。
彼が書いたものは次のとおりです。
みなさんこんにちは!
私はロバート・クーグラーで、興味がある17歳のドイツ人学生です。
コンピュータシステムを保護します。
PayPal.comはクロスサイトに対して脆弱であることに注意してください
スクリプトの脆弱性!
PayPal Inc. プロのセキュリティのためのバグ報奨金プログラムを実行しています
研究者。
www.paypal.com/us/webapps/mpp/security/reporting-security-issues
XSSの脆弱性が対象です。 だから私は参加してみて、私の発見を送った
PayPalサイトセキュリティへ。
脆弱性は検索機能にあり、トリガーすることができます
次のJavaScriptコードを使用します。
'; alert(String.fromCharCode(88.83.83))//'; alert(String.fromCharCode(88.83.83))// ";
alert(String.fromCharCode(88.83.83))// "; alert(String.fromCharCode(88.83.83))//-
</ SCRIPT> "> '> <SCRIPT>アラート(String.fromCharCode(88.83.83))</ SCRIPT>
www.paypal.com/de/cgi-bin/searchscr?cmd=_sitewide-search
スクリーンショット: picturepush.com/public/13144090
残念ながら、PayPalは私に賞金の支払いを拒否しました
17歳なので...
PayPalサイトのセキュリティ:
「バグバウンティプログラムの資格を得るには、*してはいけません*:
... 18歳未満であること。PayPalが研究者を発見した場合
上記の基準のいずれも満たさない場合、PayPalはその研究者を
バグバウンティプログラムに参加し、バウンティを受け取る資格を失います
支払い。」
PayPalに一種のバグ報奨金の節約を主張したくはありませんが、
あなたがやる気のあるセキュリティに興味があるとき、最高のアイデアではありません
研究者...
よろしく、
ロバート・クーグラー
ちなみに、MozillaとGoogleのこのようなプログラムでは、18歳未満の参加者に保護者の同意を得て報酬を受け取ることができます。