Paypal utfärdar kritisk korrigering för att förhindra hackare att stjäla oauth-symboler
Innehållsförteckning:
Video: Using Python to Connect to Meetup, PayPal and Google Tasks APIs 2024
OAuth fungerar som en öppen standard för tokenbaserad autentisering anställd av många internetjättar, inklusive PayPal. Det är därför upptäckten av en kritisk brist i onlinebetalningstjänsten som kunde ha gjort det möjligt för hackare att stjäla OAuth-tecken från användare har skickat PayPal-kryptering för att rulla ut en patch.
Antonio Sanso, en säkerhetsforskare och Adobes programvaruingenjör, upptäckte bristen efter att han testat sin egen OAuth-klient. Förutom PayPal upptäckte Sanso också samma sårbarhet i andra stora internettjänster som Facebook och Google.
Sanso säger att problemet ligger i hur PayPal hanterar redirect_uri- parametern för att ge applikationer vissa autentiseringstokens. Tjänsten har använt förbättrade omdirigeringskontroller för att bekräfta redirect_uri-parametern sedan 2015. Det hindrade fortfarande inte Sanso från att kringgå dessa kontroller när han började undersöka systemet i september.
PayPal låter utvecklare använda en instrumentpanel som kan producera tokenförfrågningar för att få sina appar till tjänsten. De resulterande tokenförfrågningarna skickas sedan till en PayPal-auktoriseringsserver. Nu hittade Sanso ett fel i hur PayPal känner igen en localhost som en giltig redirect_uri-parameter under autentiseringsprocessen. Han sa att den här metoden felaktigt implementerade OAuth.
Spela valideringssystemet
Sanso fortsatte sedan med att spela PayPal: s valideringssystem och låta det avslöja de annars konfidentiella OAuth-autentiseringstoken. Han lyckades lura systemet genom att lägga till ett visst domännamnspost till sin webbplats och noterade att localhost fungerade som det magiska ordet för att åsidosätta PayPal exakta matchningsvalideringsprocess.
Sårbarheten kan ha äventyrat alla PayPal OAuth-klienter enligt Sanso. Han rådde användare att skapa en mycket specifik omdirigering_uri när de skapade en OAuth-klient. Sanso skrev i ett blogginlägg:
DO registrera https: // yourouauthclientcom / oauth / oauthprovider / callback. INTE BARA https: // yourouauthclientcom / eller https: // yourouauthclientcom / oauth.
PayPal trodde inte Sansos resultat i början, även om företaget så småningom övervägde sitt beslut och utfärdade nu en åtgärd för bristen.
Läs också:
- 7 bästa Windows 10-fakturaprogramvara att använda
- Plånbok för Windows 10 Mobile ger kontaktlösa mobilbetalningar till Insiders
Skadliga appar använder facebook apis för att stjäla privat data
Skadliga applikationer i tiotusentalen visade sig använda Facebook-API: er. Dessa skadliga appar kommer att använda API: er som meddelanden API, logga in API, etc., för att få tillgång till en Facebook-profil privata information som plats, e-postadress och namn. Trustlook skapade en formel som hjälpte till att upptäcka dessa skadliga API: er. Formeln använder ...
Outlook-sårbarheten tillåter hackare att stjäla hash-lösenord
Microsoft Outlook är en av de mest populära e-postplattformarna i världen. Jag litar personligen på min Outlook-e-postadress för både arbetsrelaterade och personliga uppgifter. Tyvärr kanske Outlook inte är lika säkert som vi användare vill tänka på. Enligt en rapport publicerad av Carnegie Mellon Software Engineering Institute, Outlook ...
Windows 10-lösenordshanteraren buggar gör det möjligt för hackare att stjäla lösenord
Tavis Ormandy, en säkerhetsforskare på Google, hade nyligen upptäckt en sårbarhet som lurar i Windows 10's Password Manager. Det här felet tillåter cyberangripare att stjäla lösenord. Denna brist kommer med tredje part Keeper lösenordshanteraren som kommer förinstallerad på alla Windows 10-enheter. Det verkar som att denna brist är ganska lik den ...
