Paypal выпускает критический патч, чтобы хакеры не могли украсть oauth-токены

Видео: ÐÑÐµÐ¼Ñ Ð¸ Ð¡ÑÐµÐºÐ»Ð¾ Ð¢Ð°Ðº Ð²ÑÐ¿Ð°Ð»Ð° ÐÐ°ÑÑÐ° HD VKlipe Net 2024

OAuth служит открытым стандартом для аутентификации на основе токенов, используемой многими интернет-гигантами, включая PayPal. Вот почему обнаружение критического недостатка в службе онлайн-платежей, которое могло позволить хакерам украсть токены OAuth у пользователей, привело к тому, что PayPal попытался внедрить исправление.

Антонио Сансо, исследователь безопасности и инженер-программист Adobe, обнаружил этот недостаток после того, как проверил свой собственный клиент OAuth. В дополнение к PayPal, Сансо также обнаружил ту же уязвимость в других крупных интернет-сервисах, таких как Facebook и Google.

Сансо говорит, что проблема заключается в том, как PayPal обрабатывает параметр redirect_uri, чтобы дать приложениям определенные токены аутентификации. Служба использует расширенные проверки перенаправления для подтверждения параметра redirect_uri с 2015 года. Тем не менее, он не помешал Сансо обойти эти проверки, когда он начал исследовать систему в сентябре.

PayPal позволяет разработчикам использовать панель мониторинга, которая может выдавать запросы на токены, чтобы подключить свои приложения к сервису. Полученные запросы токенов затем отправляются на сервер авторизации PayPal. Теперь Сансо обнаружил ошибку в том, как PayPal распознает локальный хост как действительный параметр redirect_uri во время процесса аутентификации. Он сказал, что этот метод неправильно реализован OAuth.

Игровая система проверки

Затем Сансо перешел к системе валидации PayPal и раскрыл секретные токены аутентификации OAuth. Ему удалось обмануть систему, добавив определенную запись системы доменных имен на свой веб-сайт, отметив, что localhost служит волшебным словом для переопределения процесса точного соответствия PayPal.

По словам Сансо, эта уязвимость могла поставить под угрозу любой клиент PayPal OAuth. Он посоветовал пользователям создавать очень специфический redirect_uri при создании клиента OAuth. Сансо написал в блоге:

Регистрируйся https: // yourouauthclientcom / oauth / oauthprovider / callback. НЕ ПРОСТО https: // yourouauthclientcom / или https: // yourouauthclientcom / oauth.

Вначале PayPal не верил выводам Сансо, хотя в конечном итоге компания пересмотрела свое решение и теперь исправила эту ошибку.

Хакеры использовали край, чтобы обойти рабочую станцию vmware во время pwn2own 2017

В этом году конкурс Pwn2Own завершился после трех дней взлома браузеров и операционных систем. В конце концов, браузер Microsoft Edge стал проигравшим после того, как ему не удалось отразить атаки во время мероприятия. Команда из китайской охранной фирмы Qihoo 360 эксплуатировала Edge и объединила два недостатка безопасности, чтобы спастись от VMware…

Microsoft выпускает критический патч для Internet Explorer и графики

Microsoft недавно выпустила важный патч, предназначенный для устранения проблем с Internet Explorer и проблем, связанных с графикой. Патч также касался проблем в Microsoft Edge, среди прочего, которые очень важны. Другие проблемы, которые исправление исправлено, включают в себя недостатки повреждения памяти, обнаруженные в Microsoft Office, наряду с уязвимостью Graphics RCE…

Swift внедряет новую безопасность, чтобы остановить кибератаки, поскольку хакеры зарабатывают миллионы

SWIFT - это система, которая действует как средство связи между банками и финансовыми организациями по всему миру. В последнее время SWIFT стал целью массированных кибератак, которые привели к краже более 100 миллионов долларов, что заставило ответственных лиц принять меры и внедрить новые меры безопасности для…