Paypal, bilgisayar korsanlarının diğer simgeleri çalmalarını önlemek için kritik bir düzeltme eki yayınladı
İçindekiler:
Video: #facebook bug bounty: oauth bypass 7500$ 2024
OAuth, PayPal dahil birçok internet devi tarafından kullanılan belirteç tabanlı kimlik doğrulama için açık bir standart olarak hizmet vermektedir. Bu nedenle, çevrimiçi ödeme hizmetinde, bilgisayar korsanlarının kullanıcılardan OAuth belirteçlerini çalmalarına izin verebilecek kritik bir kusurun keşfedilmesi, bir düzeltme eki açmak için PayPal çabalıyor.
Bir güvenlik araştırmacısı ve Adobe yazılım mühendisi olan Antonio Sanso, kendi OAuth istemcisini test ettikten sonra kusurunu keşfetti. PayPal'a ek olarak, Sanso, Facebook ve Google gibi diğer büyük internet hizmetlerinde de aynı güvenlik açığını tespit etti.
Sanso, sorunun PayPal'a redirect_uri parametresini işleme biçiminde uygulandığını ve uygulamalara belirli kimlik doğrulama belirteçleri verdiğini söylüyor. Servis, 2015'ten beri redirect_uri parametresini onaylamak için geliştirilmiş yönlendirme kontrolleri kullanıyor. Yine de, Eylül ayında sistemi araştırmaya başladığında Sanso'nun bu kontrolleri atlamasını engellemedi.
PayPal, geliştiricilerin, uygulamalarını hizmete dahil etmek için simge istekleri üretebilecek bir gösterge panosu kullanmalarını sağlar. Ortaya çıkan belirteç istekleri daha sonra bir PayPal yetkilendirme sunucusuna gönderilir. Şimdi, Sanso, PayPal'ın bir yerel sunucuyu kimlik doğrulama işlemi sırasında geçerli bir redirect_uri parametresi olarak nasıl tanıdığı konusunda bir hata buldu. Bu yöntemin yanlış OAuth uyguladığını söyledi.
Doğrulama sisteminin oynanması
Sanso daha sonra PayPal'ın onaylama sistemine geçti ve aksi takdirde gizli OAuth kimlik doğrulama belirteçlerini ortaya koydu. Web sitesine belirli bir alan adı sistemi girişi ekleyerek sistemi kandırmayı başardı, localhost'un PayPal'ın tam eşleme doğrulama işlemini geçersiz kılmak için sihirli bir kelime olduğunu belirtti.
Güvenlik açığı, Sanso'ya göre herhangi bir PayPal OAuth istemcisini tehlikeye atabilirdi. OAuth istemcisi yaparken kullanıcılara çok özel bir redirect_uri oluşturmalarını önerdi. Sanso bir blog gönderisine yazdı:
Https: // yourouauthclientcom / oauth / oauthprovider / callback dosyasını kaydedin. SADECE https: // yourouauthclientcom / veya https: // yourouauthclientcom / oauth.
PayPal, ilk önce Sanso'nun bulgularına inanmadı, ancak şirket sonunda kararını yeniden gözden geçirdi ve şimdi de bu sorunu giderdi.
Ayrıca oku:
- 7 en iyi Windows 10 fatura yazılımı kullanmak
- Windows 10 Mobile için Cüzdan, Insiders’a temassız mobil ödeme getiriyor
Microsoft ve adobe, microsoft edge'da adobe flash player için yeni bir güvenlik düzeltme eki yayınladı
Adobe ve Microsoft, Microsoft’un Microsoft’un tarayıcısındaki Adobe Flash Player’da kritik bir güvenlik sorununu keşfetmesinin yol açtığı bir hamle olan Microsoft Edge’deki güvenlik açıklarını gideren bir güncelleme yayınladı. Adobe, Windows, Mac ve Linux'ta güncelleme ile 20 güvenlik açığı için bir düzeltme eki yayınladı. Ancak Adobe Flash Player’dan beri…
Microsoft, internet explorer ve grafikler için kritik bir yama yayınladı
Microsoft, yakın zamanda Internet Explorer ve grafiklerle ilgili sorunları gidermek için tasarlanmış önemli bir düzeltme eki yayınladı. Bu yama aynı zamanda Microsoft Edge'deki sorunların yanı sıra oldukça önemli olan konulara da değindi. Bu düzeltme ekinin düzeltilmesi için tasarlanan diğer sorunlar, Microsoft Office'te bulunan ve Graphics RCE güvenlik açığı ile birlikte gelen bellek bozulma kusurlarını içeriyor ...
Mozilla, kritik sıfır günlük açılışı düzeltmek için acil durum düzeltme ekini yayınladı
Mozilla, Chrome'a benzer bir güncelleme yayın döngüsü benimsedi ve kesinlikle programı takip ediyor. Şirket, acil durum sürümleri dışında güncelleme programından nadiren ayrılıyor. Mozilla kısa bir süre önce tüm kullanıcılarına bir uyarı verdi ve tarayıcılarını en kısa sürede güncellemelerini önerdi. Mozilla'yı zorlayan önemli bir faktör var.
