OAuth служит открытым стандартом для аутентификации на основе токенов, используемой многими интернет-гигантами, включая PayPal. Вот почему обнаружение критического недостатка в службе онлайн-платежей, которое могло позволить хакерам украсть токены OAuth у пользователей, привело к тому, что PayPal попытался внедрить исправление.

Антонио Сансо, исследователь безопасности и инженер-программист Adobe, обнаружил этот недостаток после того, как проверил свой собственный клиент OAuth. В дополнение к PayPal, Сансо также обнаружил ту же уязвимость в других крупных интернет-сервисах, таких как Facebook и Google.

Сансо говорит, что проблема заключается в том, как PayPal обрабатывает параметр redirect_uri, чтобы дать приложениям определенные токены аутентификации. Служба использует расширенные проверки перенаправления для подтверждения параметра redirect_uri с 2015 года. Тем не менее, он не помешал Сансо обойти эти проверки, когда он начал исследовать систему в сентябре.

PayPal позволяет разработчикам использовать панель мониторинга, которая может выдавать запросы на токены, чтобы подключить свои приложения к сервису. Полученные запросы токенов затем отправляются на сервер авторизации PayPal. Теперь Сансо обнаружил ошибку в том, как PayPal распознает локальный хост как действительный параметр redirect_uri во время процесса аутентификации. Он сказал, что этот метод неправильно реализован OAuth.

Игровая система проверки

Затем Сансо перешел к системе валидации PayPal и раскрыл секретные токены аутентификации OAuth. Ему удалось обмануть систему, добавив определенную запись системы доменных имен на свой веб-сайт, отметив, что localhost служит волшебным словом для переопределения процесса точного соответствия PayPal.

По словам Сансо, эта уязвимость могла поставить под угрозу любой клиент PayPal OAuth. Он посоветовал пользователям создавать очень специфический redirect_uri при создании клиента OAuth. Сансо написал в блоге:

Регистрируйся https: // yourouauthclientcom / oauth / oauthprovider / callback. НЕ ПРОСТО https: // yourouauthclientcom / или https: // yourouauthclientcom / oauth.

Вначале PayPal не верил выводам Сансо, хотя в конечном итоге компания пересмотрела свое решение и теперь исправила эту ошибку.

Читайте также:

• 7 лучших программ для выставления счетов в Windows 10
• Кошелек для Windows 10 Mobile приносит бесконтактные мобильные платежи инсайдерам