Guia do Iniciante para certificados SSL
PayPal tem ligado um enorme buraco que expôs todas as contas de seqüestro.
A falha cross-site request forgery (CSRF) relatado pelo pesquisador egípcio Yasser Ali H permitiu atacantes acesso a qualquer conta PayPal de sua escolha se eles eram capazes de convencer um alvo a clicar em um link.
Um porta-voz PayPal confirmou a falha para Vulture Sul acrescentando que não tinha contas evidências tinha sido comprometida.
"Através do Programa de Recompensa PayPal Bug, um dos nossos pesquisadores de segurança recentemente fez-nos conscientes de uma maneira de contornar Cross-Site Request Forgery do PayPal (CSRF) Proteção do Sistema de Autorização ao efetuar logon no PayPal.com", disse o porta-voz. "Nossa equipe trabalhou rapidamente para resolver esta vulnerabilidade, e já corrigiu o problema."
O "clique único" atacantes corte autorizados a ligar os seus endereços de email para contas vítima, redefinir senhas e ultrapassar contas porque tokens de autenticação Paypal foram feitas reutilizável.
Cross-site request falsificações eram ataques comuns contra vítimas de sites autenticados que entregou bandidos os recursos de log em usuários, tais como alterações de senha e transferências de fundos.
Ali ganhou US $ 10.000 para a divulgação e disse que o token de autenticação capturado era válida para todas as contas do PayPal.
"Após uma investigação profunda que eu descobri que o auth CSRF é reutilizável para um endereço de e-mail do usuário ou nome de usuário específico", disse Ali, em um comunicado.
"Isso significa que os atacantes que encontraram algum destes sinais CSRF pode [imitar] qualquer usuário conectado.
[Atacantes] pode obter o auth CSRF interceptar a solicitação POST a partir de uma página que fornece um token de autenticação antes de o processo de log-in. "
O pesquisador publicou uma prova de conceito de vídeo mostrando o vetor de ataque agora fechado. ®
Nenhum comentário:
Postar um comentário