Ein 17-jähriger deutscher Schüler hat vor etwa zwei Wochen eine Sicherheitslücke in der Website des Bezahldienstes Paypal entdeckt. Er hat sie an Paypal gemeldet und wollte am Prämienprogramm des Unternehmens teilnehmen, das Belohnungen für das Melden von Schwachstellen ausschüttet. Doch die Teilnahme ist erst ab 18 Jahren vorgesehen, Paypal wies ihn daher ab.

Darüber ungehalten, veröffentlichte der Schüler die Details der Schwachstelle auf der Mailing-Liste Full-Disclosure. Vor der Veröffentlichung räumte er Paypal eine Woche Zeit ein, um die Lücke zu schließen. Doch eBays Bezahldienst ließ die Zeit offenbar ungenutzt verstreichen. Erst jetzt, nachdem die klaffende Lücke fast eine Woche lang allgemein bekannt war, hat Paypal den Fehler beseitigt.

Es handelt sich bei dieser Schwachstelle um eine so genannte XSS-Lücke (Cross-Site Scripting). Eine Web-Seite kann Script-Code, typischerweise Javascript, etwa per Link in eine Web-Seite einer fremden Domain einschleusen. Der Code wird dann an den Browser desjenigen geschickt, der den Link angeklickt hat. Der Browser führt den Code aus.

Im konkreten Fall war ein Suchformular bei Paypal unzureichend gegen derartige Angriffe abgesichert. Ein Angreifer hätte zum Beispiel Phishing-Mails im Namen von Paypal versenden können, die einen speziell konstruierten Link enthalten. Dieser Link würde völlig legitim erscheinen, da er tatsächlich zur Paypal-Seite führt. Er würde jedoch Javascript nutzen, um dem Mail-Empfänger beim Besuch der Paypal-Webseite ein Anmeldeformular zu präsentieren, das die eingegebenen Daten an den Angreifer sendet.

Der Schutz vor XSS-Angriffen besteht in aller Regel darin, dass Benutzereingaben aller Art vor der weiteren Verarbeitung gefiltert werden. Dabei werden bestimmte Zeichen und Schlüsselworte ausgesondert. Im einfachsten Fall wird mit einem regulären Ausdruck gegen eine Liste zulässiger Zeichen gefiltert. So wären etwa in einem Formularfeld für die Postleitzahl nur Ziffern zulässig.

Paypal und andere Unternehmen, die in ihren Bug-Bounty-Programmen Altersbeschränkungen vorgesehen haben, sollten diese Praxis überdenken. Mit etwas gutem Willen lässt sich bestimmt eine Lösung finden, um auch Minderjährigen die Teilnahme zu ermöglichen und dennoch die hauseigenen Juristen zufrieden zu stellen. Tipp: Lesen Sie auch unsere News zur Klage der Verbraucherzentrale gegen Paypal.