En la búsqueda de problemas de seguridad, la búsqueda de activos inexplorados y puntos finales ocultos a menudo termina distrayéndolo de la funcionalidad obvia pero aún esencial.
, — , , , - . , , . , , , PayPal: .
PayPal, javascript, , CSRF.
, JS .
, XSSI, - <script>, [ CORS], , .
, , , , : , .
, , . , _csrf _sessionID .
CSRF pay pal _csrf , . , , c .
, , . PayPal, , brute force — . , .
: , , . , , .
, , , Google, , , POST- /auth/validatecaptcha.
_csrf sessionID, , .
, . , .
, , .
, , — , . , . , .
jse .
recapcha , Google , c, , , , .
, , , .
XSSI; , , . , .
PayPal , . — , , /auth/validatecaptcha, .
, .
Bug Bounty PayPal 18 2019 HackerOne 18 . PayPal . $ 15300, 10 . , 8 ( ) CVSS — , .
24 . , 5 — .
/auth/validatecaptch CSRF, .
, , , : .
. « » . - — , «», .