Paypal phát hành bản vá quan trọng để ngăn chặn tin tặc đánh cắp mã thông báo oauth

Mục lục:

Video: How To Create PayPal Account After 2020 June Update | Sinhala 2024

Video: How To Create PayPal Account After 2020 June Update | Sinhala 2024
Anonim

OAuth phục vụ như một tiêu chuẩn mở cho xác thực dựa trên mã thông báo được sử dụng bởi nhiều gã khổng lồ internet, bao gồm PayPal. Đó là lý do tại sao việc phát hiện ra một lỗ hổng nghiêm trọng trong dịch vụ thanh toán trực tuyến có thể cho phép tin tặc đánh cắp mã thông báo OAuth từ người dùng đã gửi PayPal để tranh giành bản vá.

Antonio Sanso, một nhà nghiên cứu bảo mật và kỹ sư phần mềm Adobe, đã phát hiện ra lỗ hổng sau khi ông thử nghiệm ứng dụng khách OAuth của chính mình. Ngoài PayPal, Sanso cũng phát hiện lỗ hổng tương tự trong các dịch vụ internet lớn khác như Facebook và Google.

Sanso nói rằng vấn đề nằm ở cách PayPal xử lý tham số redirect_uri để cung cấp cho các ứng dụng mã xác thực nhất định. Dịch vụ đã sử dụng kiểm tra chuyển hướng nâng cao để xác nhận tham số redirect_uri kể từ năm 2015. Tuy nhiên, nó vẫn không ngăn Sanso bỏ qua các kiểm tra này khi anh bắt đầu điều tra hệ thống vào tháng 9.

PayPal cho phép các nhà phát triển sử dụng bảng điều khiển có thể tạo các yêu cầu mã thông báo để tranh thủ các ứng dụng của họ với dịch vụ. Các yêu cầu mã thông báo kết quả sau đó được gửi đến máy chủ ủy quyền PayPal. Bây giờ, Sanso đã tìm thấy một lỗi trong cách PayPal nhận ra localhost là một tham số redirect_uri hợp lệ trong quá trình xác thực. Ông nói phương pháp này thực hiện sai OAuth.

Chơi game hệ thống xác nhận

Sanso sau đó tiếp tục chơi trò chơi hệ thống xác thực của PayPal và để nó tiết lộ các mã xác thực OAuth bí mật khác. Anh ta đã lừa được hệ thống bằng cách thêm một mục nhập hệ thống tên miền nhất định vào trang web của mình, lưu ý rằng localhost đóng vai trò là từ thần kỳ để ghi đè quá trình xác thực khớp chính xác của PayPal.

Lỗ hổng có thể đã xâm phạm bất kỳ ứng dụng khách PayPal OAuth nào theo Sanso. Ông khuyên người dùng nên tạo một redirect_uri rất cụ thể khi tạo ứng dụng khách OAuth. Sanso đã viết trong một bài đăng trên blog:

NÊN đăng ký https: // yourouauthclientcom / oauth / oauthprovider / gọi lại. KHÔNG CHỈ https: // yourouauthclientcom / hoặc https: // yourouauthclientcom / oauth.

PayPal ban đầu không tin vào kết quả của Sanso, mặc dù cuối cùng công ty đã xem xét lại quyết định của mình và hiện đã đưa ra cách khắc phục lỗ hổng.

Đọc thêm:

  • 7 phần mềm hóa đơn Windows 10 tốt nhất để sử dụng
  • Ví cho Windows 10 Mobile mang đến các khoản thanh toán di động không tiếp xúc cho Người trong cuộc
Paypal phát hành bản vá quan trọng để ngăn chặn tin tặc đánh cắp mã thông báo oauth