Paypal phát hành bản vá quan trọng để ngăn chặn tin tặc đánh cắp mã thông báo oauth
Mục lục:
Video: How To Create PayPal Account After 2020 June Update | Sinhala 2024
OAuth phục vụ như một tiêu chuẩn mở cho xác thực dựa trên mã thông báo được sử dụng bởi nhiều gã khổng lồ internet, bao gồm PayPal. Đó là lý do tại sao việc phát hiện ra một lỗ hổng nghiêm trọng trong dịch vụ thanh toán trực tuyến có thể cho phép tin tặc đánh cắp mã thông báo OAuth từ người dùng đã gửi PayPal để tranh giành bản vá.
Antonio Sanso, một nhà nghiên cứu bảo mật và kỹ sư phần mềm Adobe, đã phát hiện ra lỗ hổng sau khi ông thử nghiệm ứng dụng khách OAuth của chính mình. Ngoài PayPal, Sanso cũng phát hiện lỗ hổng tương tự trong các dịch vụ internet lớn khác như Facebook và Google.
Sanso nói rằng vấn đề nằm ở cách PayPal xử lý tham số redirect_uri để cung cấp cho các ứng dụng mã xác thực nhất định. Dịch vụ đã sử dụng kiểm tra chuyển hướng nâng cao để xác nhận tham số redirect_uri kể từ năm 2015. Tuy nhiên, nó vẫn không ngăn Sanso bỏ qua các kiểm tra này khi anh bắt đầu điều tra hệ thống vào tháng 9.
PayPal cho phép các nhà phát triển sử dụng bảng điều khiển có thể tạo các yêu cầu mã thông báo để tranh thủ các ứng dụng của họ với dịch vụ. Các yêu cầu mã thông báo kết quả sau đó được gửi đến máy chủ ủy quyền PayPal. Bây giờ, Sanso đã tìm thấy một lỗi trong cách PayPal nhận ra localhost là một tham số redirect_uri hợp lệ trong quá trình xác thực. Ông nói phương pháp này thực hiện sai OAuth.
Chơi game hệ thống xác nhận
Sanso sau đó tiếp tục chơi trò chơi hệ thống xác thực của PayPal và để nó tiết lộ các mã xác thực OAuth bí mật khác. Anh ta đã lừa được hệ thống bằng cách thêm một mục nhập hệ thống tên miền nhất định vào trang web của mình, lưu ý rằng localhost đóng vai trò là từ thần kỳ để ghi đè quá trình xác thực khớp chính xác của PayPal.
Lỗ hổng có thể đã xâm phạm bất kỳ ứng dụng khách PayPal OAuth nào theo Sanso. Ông khuyên người dùng nên tạo một redirect_uri rất cụ thể khi tạo ứng dụng khách OAuth. Sanso đã viết trong một bài đăng trên blog:
NÊN đăng ký https: // yourouauthclientcom / oauth / oauthprovider / gọi lại. KHÔNG CHỈ https: // yourouauthclientcom / hoặc https: // yourouauthclientcom / oauth.
PayPal ban đầu không tin vào kết quả của Sanso, mặc dù cuối cùng công ty đã xem xét lại quyết định của mình và hiện đã đưa ra cách khắc phục lỗ hổng.
Đọc thêm:
- 7 phần mềm hóa đơn Windows 10 tốt nhất để sử dụng
- Ví cho Windows 10 Mobile mang đến các khoản thanh toán di động không tiếp xúc cho Người trong cuộc
Hãy cẩn thận với thông báo này: nó chứa nội dung được sử dụng để đánh cắp thông tin
Bạn có nhận được Gmail 'Hãy cẩn thận với thông báo này: Nó chứa nội dung được sử dụng để đánh cắp thông tin'? Đừng xem nhẹ nó. Đây là cách bạn có thể bảo vệ máy tính của mình.
Bản cập nhật kỷ niệm Windows 10 đã ngăn chặn việc khai thác 0 ngày vào năm ngoái trước khi phát hành bản vá
Bảo mật là điểm bán hàng chính của Microsoft cho phiên bản mới nhất của hệ điều hành máy tính để bàn. Gã khổng lồ phần mềm hiện đang nhắc lại rằng nó rất nghiêm túc với mục tiêu đó bằng cách minh họa bằng cách nào đó, tại một số điểm trong năm 2016, nó đã cản trở một số khai thác 0 ngày trước khi các bản vá có sẵn. Nhóm Trung tâm bảo vệ phần mềm độc hại của Microsoft đã minh họa cách thức mới nhất
Những kẻ tấn công có thể đang cố đánh cắp thông tin của bạn [xóa thông báo này]
Đối mặt với kết nối của bạn không riêng tư - những kẻ tấn công có thể đang cố gắng đánh cắp lỗi thông tin của bạn trong Google Chrome? Chúng tôi đã liệt kê các bản sửa lỗi làm việc tốt nhất