Paypal เจอปัญหา XSS, ผู้พบอายุไม่ถึงเกณ์รับรางวัล

By: lew
FounderJusci's WriterMEconomicsAndroid
on 27 May 2013 - 16:11 Tags:
Topics: 
Security
PayPal
XSS
Node Thumbnail

Paypal มีโครงการให้จ่ายเงินรางวัลสำหรับการค้นพบช่องโหว่ความปลอดภัยมาเกือบหนึ่งปี มีการค้นพบบั๊กและจ่ายเงินไปบ้าง แต่บั๊กล่าสุดกลับมีปัญหาเพราะเงื่อนไขอายุของผู้พบบั๊กไม่ถึงเกณฑ์

Robert Kugler นักเรียนอายุ 17 ปีเป็นผู้พบบั๊กในช่องค้นหาของ Paypal ที่สามารถใส่อินพุตเป็นจาวาสคริปต์เพื่อให้รันสคริปต์ได้ตามกำหนด แต่ข้อกำหนดของทาง Paypal ระบุให้ผู้รับรางวัลได้จะต้องมีอายุอย่างต่ำ 18 ปีขึ้นไป ความรำคาญระเบียบข้อนี้ทำให้ Kugler นำบั๊กนี้ออกประกาศสู่สาธารณะ

บั๊กนี้ไม่สามารถทำงานได้บน WebKit เพราะระบบกรองอินพุตของเบราว์เซอร์เองไม่ยอมส่งอินพุตที่เป็นสคริปต์เช่นนี้ไปยังเซิร์ฟเวอร์ แต่เบราว์เซอร์อื่นๆ เช่น ไฟร์ฟอกซ์, IE, และ Opera นั้นจะเสี่ยงต่อบั๊กนี้

update: ผมพบว่าผมเข้าใจตัวข่าวผิด และเขียนข่าวในตอนแรกชี้นำผิดไปนะครับ Kugler ไม่ได้ติดต่อ Paypal ก่อนเปิดเผยบั๊ก แต่บ่นว่ากติกาบนหน้าเว็บของโครงการทำให้เขาไม่สามารถเข้าร่วมได้ จึงเปิดเผยบั๊กนี้ออกมา

update2: Kugler ออกมาเปิดเผยอีเมลระหว่างเขาและ Paypal แสดงให้เห็นว่าเขาได้ติดต่อ Paypal ไปแล้วล่วงหน้าหลายสัปดาห์ แต่ทาง Paypal ปฎิเสธที่จะยอมรับว่าเขาเป็นผู้ค้นพบช่องโหว่นี้ รวมถึงปฎิเสธไม่ยอมจ่ายเงินผ่านบัญชีของพ่อของเขา

ที่มา - Heise (ภาษาเยอรมัน), Seclist

Get latest news from Blognone

Comments

By: tanit9999
iPhoneAndroidUbuntu
on 27 May 2013 - 16:30 #578618
tanit9999's picture

เป็นเด็กห้ามฉลาดสินะ แบบนี้พวกเด็กเทพ ยำ paypal เละ

By: UltimaWeapon
Windows PhoneRed HatWindowsIn Love
on 27 May 2013 - 16:30 #578619
UltimaWeapon's picture

แหม เก่งแล้วยังต้องรออายุด้วย แบบนี้ต้องห้ามเก่งเกินอายุสินะ

By: mr_tawan
ContributoriPhoneAndroidWindows
on 27 May 2013 - 16:37 #578621 Reply to:578619
mr_tawan's picture

ผมว่าเป็นประเด็นด้านกฎหมายนะ

ที่ีจริงเรียกพ่อมาคุยก็จบละ

  • 9tawan.net บล็อกส่วนตัวฮับ
By: ตะโร่งโต้ง
WriterAndroidWindows
on 27 May 2013 - 17:24 #578645 Reply to:578621
ตะโร่งโต้ง's picture

ผมว่ามันคงเลยจุดนั้นมาแล้วล่ะคับ
ซึ่งก็ไม่รู้ว่าทำไมจึงคุยกันไม่ลงตัวแล้วออกมาอีหรอบนี้

ช่างไฟสมัครเล่น (- -")

By: thaitanatana
iPhoneWindows PhoneAndroidBlackberry
on 27 May 2013 - 17:26 #578648 Reply to:578621
thaitanatana's picture

+1 เห็นด้วยครับ ให้พ่อหรือแม่มาเซ็นรับก็คงได้

By: McKay
ContributorAndroidWindowsIn Love
on 27 May 2013 - 17:56 #578659 Reply to:578621
McKay's picture

การให้กับผู้เยาว์เป็นโมฆียะนี่ครับ ถือว่ามีผลทางกฎหมายโดยสมบูรณ์ ถึงแม้จะฟ้องล้างในภายหลังได้ก็ตาม(ซึ่งคงไม่มีคนฟ้อง - -")

ผมว่ามันไม่มีเหตุอะไรทางกฎหมายที่จะไม่ให้นะครับ

Russia is just nazi who accuse the others for being nazi.
someone once said : ผมก็ด่าของผมอยู่นะ :)

By: wichate
Android
on 27 May 2013 - 16:39 #578622

จ่ายไม่ได้เพราะยังไม่บรรลุนิติภาวะมั๊งครับ อาจจะจ่ายให้ผู้ปกครองแทน

By: LuvStry
ContributorAndroid
on 27 May 2013 - 16:47 #578632
LuvStry's picture

เอาเหตุผลเรื่องอายุ มาจำกัดสิทธิ์ นี่มันยังไงเนี่ย เบี้ยวเด็ก ?

=_= Fee ก็เก็บเยอะ แล้วยังจะ

Blognone = 138.1 news/w เยอะมากๆ

By: lingjaidee
ContributoriPhoneAndroid
on 27 May 2013 - 16:47 #578633
lingjaidee's picture

Paypal มาอยู่ในไทยได้เลยนะ -..-

my blog

By: timered
Android
on 27 May 2013 - 16:50 #578635

ทำไมต้องกำหนดอายุด้วย ไม่ใช่เหล้า บุหรี่ หนังโป๊สักหน่อย ถ้าให้เด็กไม่ได้ก็ให้ผู้ปกครองสิครับ เป็นผมขอจองตัวมาทำงานไว้เลย

By: thumb6455
Android
on 27 May 2013 - 16:57 #578640

พึ่งลองมายังไม่แก้เลยฮะ

By: hostingdigg
Windows Phone
on 27 May 2013 - 16:57 #578641

กฎก็เรื่องกฎ ใจก็เรื่องใจ
ถ้าผิดกฎอยู่บ้าง แต่ใจจะให้..คนเรามันหาวิธีได้อยู่แล้ว อยู่ที่จะให้หรือเปล่า...

By: giogio
Android
on 27 May 2013 - 17:25 #578647
giogio's picture

ไม่ต่างอะไรกับตั้งกฏว่า รางวัลจะมอบให้คนผิวขาวเท่านั้น ห้ามเป็นคนผิวดำหรือชาวเอเชียโดยเด็ดขาด
มันเป็นกฏที่ไม่สร้างสรรค์เลย

By: kritapas.t
iPhoneAndroidBlackberry
on 28 May 2013 - 01:00 #578773 Reply to:578647
kritapas.t's picture

ผมว่าไม่ค่อยเกี่ยวกับกฏการเหยียดผิวนะครับ ผมว่าอันนี้มันน่าจะเป็นแค่ข้อห้าม
ซึ่งเด็กที่ได้รับเงินอาจยังไม่บรรลุนิติภาวะ หรือ อาจจะมีความเสี่ยงในการใช้เงินในทางที่ไม่ถูกไม่ควร
ซึ่งคนที่รับผิดชอบก็อาจจะตกเป็น Paypal ไปในปริยาย

By: ppJr
iPhoneAndroidUbuntu
on 28 May 2013 - 02:17 #578789 Reply to:578647

ผมว่าไม่เหมือน คนเอเชียไม่มีทางเป็นคนผิวขาวได้ แต่เด็ก 17 ปีหน้าก็หลุดจากการเแป็นเยาวชนแล้ว

By: Fourpoint
Windows PhoneAndroidSymbian
on 27 May 2013 - 17:29 #578649

น่าจะติดขัดเรื่องข้อกฎหมาย ถ้าเป็นเมืองไทยก็ต้องให้ผู้ปกครองเป็นคนรับเช่นกัน แต่ไม่แน่ใจทำไมของฝรั่งไปคุยกันอีท่าไหนถึงไม่ยอมจ่ายเลยซะงั้น

By: nrml
ContributorIn Love
on 27 May 2013 - 17:29 #578650
nrml's picture

เป็นการป้องกันไม่ให้เด็กนำเงินจำนวนนั้นไปใช้โดยขาดวิจารณญาน ซึ่งอาจจะเป็นปัญหาสังคมตามมาภายหลังได้ครับ #แถ

By: kritapas.t
iPhoneAndroidBlackberry
on 28 May 2013 - 01:05 #578774 Reply to:578650
kritapas.t's picture

ผมก็คิดอย่างนี้เช่นกันครับ เกิดเด็กคนนั้นนำไปซื้อสิ่งเสพติดขึ้นมา แล้วโดนจับ หากโดนซักถามที่มาของเงิน กลายเป็นว่าการแก้บักเป็นช่องทางในการหาเงินไปซื้อสารเสพติดให้แก่เด็กๆทั่วโลกที่เก่งคอม

By: nrml
ContributorIn Love
on 28 May 2013 - 01:57 #578785 Reply to:578774
nrml's picture

แต่ผมไม่คิดอย่างนั้นครับ การจะหาเงินโดยการลงทุนลงแรงที่ไม่ผิดศีลธรรมผมว่ามันไม่น่าจะผิด และเราก็ไม่สามารถควบคุมการใช้เงินของเด็กได้ 100% ไม่ว่าเงินที่เด็กได้มาจะมาจากไหน การหาเงินจากการมาค้นหาบั๊กก็ไม่น่าจะใช่ช่องทางทีี่จะดึงดูดเพื่อหาเงินไปใช้ในทางอบายมุขมากพอถึงขนาดทำกันเป็นล่ำเป็นสันเพราะต้องลงแรงมากเกินไป

By: pongmile
ContributorAndroidSymbianWindows
on 28 May 2013 - 23:19 #579285 Reply to:578774
pongmile's picture

ผู้ใหญ่ก็ทำได้ครับ แหม่

By: PaPaSEK
ContributorAndroidWindowsIn Love
on 28 May 2013 - 23:22 #579289 Reply to:578774
PaPaSEK's picture

มันไม่เกี่ยวกับสารเสพติดหรือสิ่งผิดกฏหมายอะไรเลยครับ จะเอาเงินไปซื้อยาน่ะไม่ใช่มีแค่วิธีแฮกหรอก มันคนละเรื่องกันครับ

ทำอย่างกับเด็กไทยที่ติดยานี่เอาเงินมาจากการแฮก

By: Tizthammawasi
AndroidIn Love
on 27 May 2013 - 17:40 #578651

ทำไมต้องแหกกฎด้วย

By: Golffy
ContributoriPhoneIn Love
on 27 May 2013 - 17:50 #578655
Golffy's picture

เด็กต่างชาติอาจจะไม่ได้ใกล้ชิดพ่อแม่แบบเด็กไทยก็ได้นะ เค้าก็เลยไม่สะดวกที่จะเรียกพ่อแม่มารับแทน

@mamuang

By: LazarusSP1
ContributoriPhone
on 27 May 2013 - 17:51 #578657

ทำไมตอนผมอายุ 16 รับเงินรางวัลของ Microsoft Partner in learning ได้หว่า

By: toooooooon
iPhoneWindows PhoneAndroidBlackberry
on 27 May 2013 - 17:57 #578660

มอง ขำขำ

เช่น ถ้าให้แล้วเกิดเหตุที่ต้องฟ้องกลับ เรียกเงินคืน
แล้วฟ้องเด็กที่ยังไม่บรรลุ จะได้ไหมหว่า (เช่นฟ้องแพ่ง)

By: Tizthammawasi
AndroidIn Love
on 27 May 2013 - 18:00 #578662

จะว่าโง่หรือฉลาดดีเนี่ย แฮกได้ แต่ทำผิดกฎ

By: AmidoriA
UbuntuWindows
on 27 May 2013 - 18:11 #578664 Reply to:578662
AmidoriA's picture

เค้าผิดกฏเพราะอายุไม่ถึงไม่ใช่หรือครับ แล้วเค้าต้องทำยังไง ถึงจะถูกกฏหรือครับ

By: Tizthammawasi
AndroidIn Love
on 27 May 2013 - 18:27 #578668 Reply to:578664

รอให้อายุ 18 ก่อนสิ

By: Onewings
Windows
on 27 May 2013 - 20:31 #578699 Reply to:578668

แล้วกว่าจะเปิดเผยต้องรออายุ 18 ก่อนนี่ฉลาดหรือโง่หนิ?
ป.ล.ผมยังไม่เห็นว่าเขาจะทำผิดตรงไหนนะ มีแต่ Paypal ที่่พลาดกับเรื่องนี้ไป เทียบความเสียหายกับเงินรางวัลนะ

By: kajokman
ContributorAndroidIn Love
on 27 May 2013 - 20:41 #578702 Reply to:578668
kajokman's picture

แหม่ รอแค่ 1 ปีเองนะครับ ถ้าเด็กเค้าอายุ 13 ปี ก็ต้องรอไป 6 ปีซินะครับ ถึงจะส่งบั๊คเพื่อจะเอารางวัลได้

By: hisoft
ContributorWindows PhoneWindows
on 27 May 2013 - 23:00 #578748 Reply to:578668
hisoft's picture

ถ้ารอถึงตอนนั้น แล้วโดนคนอื่นแย่งไปแล้ว ใครรับผิดชอบครับ?

ถ้ารอถึงตอนนั้น มีคนเจาะพรุนไปแล้วจากมุมมืด ใครรับผิดชอบครับ?

ถ้ารอถึงตอนนั้น แล้วไม่มีโอกาสแจ้ง ใครรับผิดชอบครับ

ถ้าอยากรอถึงตอนนั้น แต่วันนั้นไม่มีทางมาถึง ใครรับผิดชอบครับ?

By: ตะโร่งโต้ง
WriterAndroidWindows
on 27 May 2013 - 18:21 #578667 Reply to:578662
ตะโร่งโต้ง's picture

เค้าทำไมอะไรพลาดจนอาจจะคิดว่าโง่ได้หรือครับ?

ช่างไฟสมัครเล่น (- -")

By: EThaiZone
ContributorAndroidUbuntuWindows
on 27 May 2013 - 22:08 #578738 Reply to:578662
EThaiZone's picture

ไม่นึกว่าคอมเมนต์แบบนี้จะมีออกมา?

มันไม่ง่ายเลยที่จะทำ GIF ให้มีขนาดน้อยกว่า 20kB

By: PaPaSEK
ContributorAndroidWindowsIn Love
on 27 May 2013 - 23:18 #578753 Reply to:578738
PaPaSEK's picture

นั่นแหละครับ ยินดีต้อนรับสู่ประเทศไทยครับ

By: rattananen
AndroidWindows
on 27 May 2013 - 18:48 #578673

ยังขาดวุฒิภาวะอยู่นะครับแบบนี้
ถ้าคนมีวุฒิภาวะขึ้นมาหน่อยก็ต้องส่ง mail ไปต่อรองกับ paypal ไม่ก็บอกพ่อแม่ให้รับแทนแล้วล่ะ
เงื่อนไข paypal ตั้งเองทำไมจะแก้ไม่ได้
อดรางวัลไปเลยไอ้น้อง

By: panurat2000
ContributorSymbianUbuntuIn Love
on 27 May 2013 - 19:41 #578680
panurat2000's picture

Paypal เจอปัญหา XSS, ผู้พบอายุไม่ถึงเกณ์รับรางวัล

เกณ์ => เกณฑ์

By: Witt N. Vest
Windows PhoneWindows
on 27 May 2013 - 22:28 #578743

มัวแต่ห่วงกฎแทนที่จะห่วงเรื่องความปลอดภัยของระบบนี่ ก็ไม่ไหวนะ เรื่องแบบนี้มันน่าจะหยวนๆ กันได้

By: AlninlA
ContributorAndroidUbuntu
on 27 May 2013 - 22:48 #578744
AlninlA's picture

ดู update ข่าวโดยผู้เขียนแล้วก็น่าจะเคลียร์นะ

By: 9rockky
AndroidIn Love
on 27 May 2013 - 23:09 #578749

เด็กเขาเจ๋งแฮะ ไม่เหมือนเด็กไทยส่วนใหญ่(ไม่ใช่ทั้งหมด) รู้เรื่องคอมหน่อย ทนงตนว่าข้าเก่ง รู้รอบ กลิ่นขี้ฟันฟุ้ง~

By: Fourpoint
Windows PhoneAndroidSymbian
on 28 May 2013 - 09:22 #578834

สรุปข่าวใหม่ เจ้าตัวเห็นเงื่อนไขเรื่องอายุ เลยไม่report bugเข้าpaypal แต่มาเปิดเผยสาธารณะซะงั้น แทนที่จะคุยกับเขาก่อนอาจจะมีข้อยกเว้นในกฎหรือช่องทางแบบอื่น(เช่นที่ให้ใช้ชื่อพ่อแม่หรือผู้ปกครองแทน) แต่ชิงมาเปิดเผยแบบนี้ ผมว่าไม่ค่อยเหมาะนะ อาจมีคนใช้ช่องการโจมตีนี้จากการเผยแพร่ข้อมูลก่อนที่paypalจะทันแก้ไขด้วยซ้ำ ไม่ต่างจากพวกเกรียนhacker เลยก็ว่าได้

By: PaPaSEK
ContributorAndroidWindowsIn Love
on 28 May 2013 - 10:08 #578853 Reply to:578834
PaPaSEK's picture

คงไม่อยากให้ที่บ้านรู้ด้วยมั้งครับ

นี่ถ้าถูกนำจับคงไม่ใช่แค่ที่บ้านที่จะรู้ คิดไปคิดมาเลยยิ่งเข้าใจในความเป็น "เยาวชน"

By: Onewings
Windows
on 28 May 2013 - 13:23 #578970 Reply to:578834

"XSS vulnerabilities are in scope. So I tried to take part and sent my find
to PayPal Site Security."

"Unfortunately PayPal disqualified me from receiving any bounty payment
because of being 17 years old..."

จาก 2 ประโยคนี้ไม่แน่ใจว่าสรุปได้แบบไหนเหมือนกัน

ป.ล.แปลจากภาษาอังกฤษนะภาษาเยอรมณีนี่ไม่ไหว

By: thanakij
Contributor
on 29 May 2013 - 04:32 #579370

ผมว่าต้องแก้ update เพิ่ม update#2 นะ

จากที่ไปอ่านต้นทางมา เด็กเค้ามีการติดต่อ Paypal ไปก่อนแล้ว แถมยังแนบ screenshot email มาให้ดูด้วย

http://zer0byte.com/wp-content/uploads/2013/05/xss-paypal1.png
http://zer0byte.com/wp-content/uploads/2013/05/xss-paypal2.png
http://zer0byte.com/wp-content/uploads/2013/05/xss-paypal3.png

คือ กลายเป็นว่า นอกจากจะไม่ให้ bounty แล้ว ตอนหลังเด็กก็ขอจดหมาย acknowledgement (PDF) เพื่อใช้ในการเขียนใบสมัครก็ยังโดนปฏิเสธ