Paypal geeft kritieke patch uit om te voorkomen dat hackers oauth tokens stelen
Inhoudsopgave:
Video: PS3 Jailbreak 2020 4.86 Sneller dan ooit! | Hoe PS3 2020 te jailbreaken 2024
OAuth dient als een open standaard voor op tokens gebaseerde authenticatie die wordt gebruikt door veel internetreuzen, waaronder PayPal. Dat is de reden waarom de ontdekking van een kritieke fout in de online betalingsservice waardoor hackers OAuth-tokens van gebruikers hadden kunnen stelen, PayPal ertoe heeft aangezet om een patch uit te rollen.
Antonio Sanso, een beveiligingsonderzoeker en Adobe-software-ingenieur, ontdekte het probleem nadat hij zijn eigen OAuth-client had getest. Naast PayPal heeft Sanso dezelfde kwetsbaarheid gedetecteerd in andere belangrijke internetdiensten zoals Facebook en Google.
Sanso zegt dat het probleem ligt in de manier waarop PayPal omgaat met de parameter redirect_uri om applicaties bepaalde authenticatietokens te geven. De service gebruikt sinds 2015 verbeterde redirect-controles om de parameter redirect_uri te bevestigen. Toch weerhield het Sanso er niet van deze controles te omzeilen toen hij in september het systeem begon te onderzoeken.
PayPal laat ontwikkelaars een dashboard gebruiken dat tokenaanvragen kan produceren om hun apps bij de service in te schakelen. De resulterende tokenverzoeken worden vervolgens verzonden naar een PayPal-autorisatieserver. Sanso heeft nu een fout gevonden in de manier waarop PayPal een localhost herkent als een geldige parameter redirect_uri tijdens het authenticatieproces. Hij zei dat deze methode OAuth verkeerd heeft geïmplementeerd.
Gaming van het validatiesysteem
Sanso ging vervolgens verder met het validatiesysteem van PayPal en liet het de anders vertrouwelijke OAuth-authenticatietokens onthullen. Hij slaagde erin om het systeem te misleiden door een bepaalde toegang tot het domeinnaamsysteem toe te voegen aan zijn website, en merkte op dat localhost diende als het toverwoord voor het doorbreken van PayPal's exact overeenkomende validatieproces.
Volgens Sanso kan het beveiligingslek elke PayPal-OAuth-client hebben aangetast. Hij adviseerde gebruikers om een zeer specifieke redirect_uri te maken bij het maken van een OAuth-client. Sanso schreef in een blogpost:
DO registreer https: // yourouauthclientcom / oauth / oauthprovider / callback. NIET ALLEEN https: // yourouauthclientcom / of https: // yourouauthclientcom / oauth.
PayPal geloofde eerst de bevindingen van Sanso niet, hoewel het bedrijf uiteindelijk zijn beslissing heroverwoogde en nu een oplossing voor de fout gaf.
Lees ook:
- 7 beste Windows 10 factuursoftware om te gebruiken
- Wallet voor Windows 10 Mobile biedt contactloze mobiele betalingen aan Insiders
Door de kwetsbaarheid van Outlook kunnen hackers wachtwoordhashes stelen
Microsoft Outlook is een van de populairste e-mailplatforms ter wereld. Ik vertrouw persoonlijk op mijn Outlook-e-mailadres voor zowel werkgerelateerde als persoonlijke taken. Helaas is Outlook mogelijk niet zo veilig als wij gebruikers zouden willen denken. Volgens een rapport gepubliceerd door het Carnegie Mellon Software Engineering Institute, Outlook ...
Met Windows 10-wachtwoordbeheerfout kunnen hackers wachtwoorden stelen
Tavis Ormandy, een beveiligingsonderzoeker bij Google, had onlangs een kwetsbaarheid ontdekt die op de loer lag in Windows 10's Password Manager. Met deze bug kunnen cyberaanvallers wachtwoorden stelen. Deze fout wordt geleverd met de Keeper-beheerdersapplicatie van derden die vooraf is geïnstalleerd op alle Windows 10-apparaten. Het lijkt erop dat deze fout vrij veel lijkt op die ...
Bethesda schakelt midden-hackers uit - geeft creditcardgegevens weg
Bethesda besluit er één beter te doen dan Dell en Quora en gebruikersinformatie weg te geven in plaats van hackers ervoor te laten werken. Lees verder voor meer informatie ...