Paypal udsender kritisk patch for at forhindre hackere i at stjæle oauth-symboler
Indholdsfortegnelse:
Video: OAuth with Salesforce - Demystified 2024
OAuth fungerer som en åben standard for token-baseret godkendelse ansat af mange internetgiganter, herunder PayPal. Derfor har opdagelsen af en kritisk fejl i onlinebetalingstjenesten, der kunne have gjort det muligt for hackere at stjæle OAuth-tokens fra brugere, sendt PayPal-scrambling for at rulle en patch.
Antonio Sanso, en sikkerhedsforsker og Adobes softwareingeniør, opdagede fejlen, efter at han testede sin egen OAuth-klient. Ud over PayPal opdagede Sanso også den samme sårbarhed i andre store internettjenester som Facebook og Google.
Sanso siger, at problemet ligger i den måde PayPal håndterer redirect_uri- parameteren for at give applikationer visse godkendelsesmærker. Tjenesten har brugt forbedrede omdirigeringskontroller for at bekræfte redirect_uri-parameteren siden 2015. Alligevel forhindrede det ikke Sanso i at omgå disse kontroller, da han begyndte at undersøge systemet i september.
PayPal lader udviklere bruge et betjeningspanel, der kan producere token-anmodninger for at verve deres apps til tjenesten. De resulterende token-anmodninger sendes derefter til en PayPal-autorisationsserver. Nu fandt Sanso en fejl i, hvordan PayPal genkender en localhost som en gyldig redirect_uri-parameter under godkendelsesprocessen. Han sagde, at denne metode forkert implementerede OAuth.
Spil valideringssystemet
Sanso fortsatte derefter med at spille PayPal's valideringssystem og lade det afsløre de ellers fortrolige OAuth-godkendelsesmærker. Det lykkedes ham at narre systemet ved at tilføje en bestemt domænenavnsystemindgang til sin hjemmeside og bemærkede, at localhost fungerede som det magiske ord for at tilsidesætte PayPal's nøjagtige matchningsvalideringsproces.
Sårbarheden kunne have kompromitteret enhver PayPal OAuth-klient ifølge Sanso. Han rådede brugerne til at oprette en meget specifik omdirigering_uri, når de opretter en OAuth-klient. Sanso skrev i et blogindlæg:
DO registrere https: // yourouauthclientcom / oauth / oauthprovider / callback. IKKE BARE https: // yourouauthclientcom / eller https: // yourouauthclientcom / oauth.
PayPal troede ikke først på Sansos fund, selvom virksomheden til sidst overvejede sin beslutning og udstedte nu en rettelse til fejlen.
Læs også:
- 7 bedste Windows 10-fakturasoftware til brug
- Wallet til Windows 10 Mobile bringer kontaktløse mobile betalinger til Insiders
Windows 10 kb4093112: Microsoft udsender endnu en specter patch
Specter-sårbarheden overraskede techverdenen. April's Patch Tuesday bringer en ny Specter-opdatering til Windows 10 FCU-computere, der tilføjer et ekstra lag af beskyttelse mod denne trussel. Som Microsoft forklarer, opdaterer KB4093112 support til at kontrollere brugen af Indirect Branch Prediction Barrier (IBPB) inden for nogle AMD-processorer (CPU'er) til at mindske CVE-2017-5715, Specter Variant ...
Outlook sårbarhed giver hackere mulighed for at stjæle adgangskode hash
Microsoft Outlook er en af de mest populære e-mail-platforme i verden. Jeg er personlig afhængig af min Outlook-e-mail-adresse til arbejdsrelaterede såvel som personlige opgaver. Desværre er Outlook muligvis ikke så sikker, som vi brugere gerne vil tænke. I henhold til en rapport udgivet af Carnegie Mellon Software Engineering Institute har Outlook ...
Windows 10 password manager bug giver hackere mulighed for at stjæle adgangskoder
Tavis Ormandy, en sikkerhedsforsker hos Google, havde for nylig opdaget en sårbarhed, der lurer i Windows 10's Password Manager. Denne fejl giver cyberangribere mulighed for at stjæle adgangskoder. Denne fejl leveres med tredjepart Keeper password manager applikationen, der kommer forudinstalleret på alle Windows 10-enheder. Det ser ud til, at denne fejl ligner den ...
