Paypal издава критична лепенка, за да предотврати хакерите да откраднат маркери на oauth
Съдържание:
Видео: Как пользоваться PayPal 2024
OAuth служи като отворен стандарт за удостоверяване на базата на маркери, използвано от много интернет гиганти, включително PayPal. Ето защо откриването на критичен недостатък в услугата за онлайн плащания, което би могло да позволи на хакерите да откраднат OAuth маркери от потребителите, изпрати PayPal скремблиране, за да разгърне патч.
Антонио Сансо, изследовател по сигурността и софтуерен инженер на Adobe, откри недостатъка, след като изпробва собствения си клиент на OAuth. В допълнение към PayPal, Сансо също откри същата уязвимост в други големи интернет услуги като Facebook и Google.
Сансо казва, че проблемът се състои в начина, по който PayPal борави с параметъра redirect_uri, за да даде на приложенията определени маркери за удостоверяване. Услугата използва подобрени проверки за пренасочване, за да потвърди параметъра redirect_uri от 2015 г. Все пак, това не попречи на Сансо да заобиколи тези проверки, когато той започна да изследва системата през септември.
PayPal позволява на разработчиците да използват табло за управление, което може да генерира заявки на маркери, за да се включат в приложенията си с услугата. След това получените заявки за маркери се изпращат на сървър на разрешение на PayPal. Сега Sanso откри грешка в начина, по който PayPal разпознава localhost като валиден параметър redirect_uri по време на процеса на удостоверяване. Той каза, че този метод неправилно е приложил OAuth.
Игра на валидиращата система
След това Sanso продължи към системата за валидиране на играта PayPal и я накара да разкрие иначе поверителните маркери за автентификация на OAuth. Той успя да измами системата, като добави към уебсайта си определено влизане в системата за имена на домейни, отбелязвайки, че localhost послужи като вълшебната дума за преодоляване на процеса на валидиране на точното съвпадение на PayPal.
Уязвимостта може да компрометира всеки клиент на PayPal OAuth според Sanso. Той посъветва потребителите да създават много специфичен redirect_uri, когато правят OAuth клиент. Сансо написа в публикация в блога:
НЕ се регистрирайте https: // yourouauthclientcom / oauth / oauthprovider / callback. НЕ ТРЯБВА https: // yourouauthclientcom / или https: // yourouauthclientcom / oauth.
PayPal в началото не вярваше на констатациите на Sanso, въпреки че компанията в крайна сметка преразгледа решението си и сега издаде поправка на недостатъка.
Прочетете също:
- 7 най-добрият софтуер за Windows 10 фактури, който да използвате
- Портфейлът за Windows 10 Mobile предлага безконтактни мобилни плащания на вътрешни лица
Потребителите на Xbox вече могат да използват съществуващи маркери за геймъри, но има уловка
Потребителите на Xbox Live вече могат да използват съществуващите маркери за геймъри, но с лека модификация. Платформата автоматично ще генерира уникален идентификационен номер.
Нападателите може да се опитват да откраднат информацията ви [премахнете този сигнал]
Изправяне на връзката ви не е частна - нападателите може да се опитват да откраднат информационната ви грешка в Google Chrome? Изброихме най-добрите работни поправки
Архивирайте данните си за активиране на Windows с разширения мениджър на маркери
Advanced Tokens Manager е лесно приложение, което ви помага при архивиране и възстановяване на активирането на Windows и Office. Понастоящем програмата е достъпна само като кандидат за издаване и докато Windows 10 все още не се поддържа, можете да използвате програмата само за Windows 7 или по-стара или телефони, активирани с Windows 8.1 и ...