Paypal vydává kritické záplaty, aby zabránil hackerům krást tokeny oauth
Obsah:
Video: Pay Pal 2FA Bypass 2024
OAuth slouží jako otevřený standard pro autentizaci založenou na tokenu, kterou používá mnoho internetových gigantů, včetně PayPal. To je důvod, proč objev kritické chyby ve službě online plateb, která by mohla umožnit hackerům ukradnout tokeny OAuth od uživatelů, poslal kódování PayPal k zavedení opravy.
Antonio Sanso, bezpečnostní výzkumník a softwarový inženýr Adobe, objevil chybu poté, co otestoval svého vlastního klienta OAuth. Kromě PayPal, Sanso také zjistil stejnou zranitelnost v jiných hlavních internetových službách, jako je Facebook a Google.
Sanso říká, že problém spočívá ve způsobu, jakým PayPal zpracovává parametr redirect_uri a dává aplikacím určité autentizační tokeny. Služba používá rozšířené kontroly přesměrování k potvrzení parametru redirect_uri od roku 2015. Přesto však nezastavila Sanso v obcházení těchto kontrol, když v září začal systém vyšetřovat.
PayPal umožňuje vývojářům používat dashboard, který může vytvářet tokenové požadavky, aby mohli své aplikace přiřadit ke službě. Výsledné požadavky na tokeny jsou poté odeslány na autorizační server PayPal. Nyní Sanso našel chybu v tom, jak PayPal rozpoznává localhost jako platný parametr redirect_uri během procesu autentizace. Řekl, že tato metoda nesprávně implementovala OAuth.
Hraní ověřovacího systému
Sanso poté pokračoval ve validačním systému PayPal a nechal jej odhalit jinak důvěrné autentizační tokeny OAuth. Podařilo se mu systém podvádět přidáním určité položky systému doménových jmen na jeho webovou stránku a poznamenal, že localhost sloužil jako magické slovo pro potlačení přesného procesu ověřování PayPal.
Tato chyba zabezpečení mohla podle Sanso ohrozit kteréhokoli klienta PayPal OAuth. Doporučil uživatelům, aby při vytváření klienta OAuth vytvořili velmi specifický redirect_uri. Sanso napsal v blogu:
ZAREGISTRUJTE se https: // yourouauthclientcom / oauth / oauthprovider / callback. NOT JUST https: // yourouauthclientcom / nebo https: // yourouauthclientcom / oauth.
PayPal nejprve nevěřil Sansoho nálezům, i když společnost nakonec své rozhodnutí přehodnotila a nyní opravila chybu.
Přečtěte si také:
- 7 nejlepších fakturačních programů pro systém Windows 10
- Peněženka pro Windows 10 Mobile přináší zasílatelům bezkontaktní mobilní platby
Aktualizace kb3192392 pro Windows 8.1 záplaty 4 kritické chyby zabezpečení
Jak se očekávalo, nejnovější úterní aktualizace Patch přinesla řadu důležitých oprav a vylepšení ve všech podporovaných verzích OS. Toto vydání Úterý Patch také označuje zahájení měsíční kumulativní aktualizace pro Windows 7 a 8.1. Microsoft také zavedl jednotlivé aktualizace zabezpečení pro tyto dva operační systémy, což uživatelům umožnilo vybrat si ...
Systém Windows 10 získává nové aktualizace zabezpečení, aby zabránil útokům přízraků
Systém Windows 10 nedávno obdržel čtyři nové aktualizace mikrokódu Intel zaměřené na zvýšení ochrany před útoky Specter Variant 2. Aktualizace jsou k dispozici pro všechny verze Windows 10 následujícím způsobem: KB4090007 k dispozici pro Windows 10 verze 1709, aka aktualizace Fall Creators Update KB4091663 k dispozici pro Windows 10 verze 1703, aka Creators Update KB4091664 k dispozici pro Windows 10 verze 1607,…
Plex se vrací ke svým plánům, aby zabránil uživatelům odhlásit se ze shromažďování dat
Krátce poté, co se Plex rozhodl, že se již nebudete moci odhlásit ze shromažďování dat kvůli aktualizaci zabezpečení, to celou věc stáhlo.
