1. Accueil
  2. Nouvelles
  3. Paypal publie un correctif essentiel pour empêcher les pirates de voler des jetons authentiques

Paypal publie un correctif essentiel pour empêcher les pirates de voler des jetons authentiques

Table des matières:

Vidéo: #facebook bug bounty: oauth bypass 7500$ 2024

Vidéo: #facebook bug bounty: oauth bypass 7500$ 2024
Anonim

OAuth sert de standard ouvert pour l'authentification par jeton utilisée par de nombreux géants de l'internet, y compris PayPal. C'est pourquoi la découverte d'une faille critique dans le service de paiement en ligne qui aurait pu permettre à des pirates informatiques de voler des jetons OAuth à des utilisateurs a incité PayPal à déployer un correctif.

Antonio Sanso, chercheur en sécurité et ingénieur logiciel chez Adobe, a découvert la faille après avoir testé son propre client OAuth. Outre PayPal, Sanso a également détecté la même vulnérabilité dans d’autres services Internet majeurs tels que Facebook et Google.

Sanso indique que le problème réside dans la manière dont PayPal gère le paramètre redirect_uri pour donner aux applications certains jetons d'authentification. Le service utilise des contrôles de redirection améliorés pour confirmer le paramètre redirect_uri depuis 2015. Néanmoins, il n'a pas empêché Sanso de contourner ces contrôles lorsqu'il a commencé à examiner le système en septembre.

PayPal permet aux développeurs d'utiliser un tableau de bord pouvant générer des demandes de jetons afin de pouvoir associer leurs applications au service. Les demandes de jetons résultantes sont ensuite envoyées à un serveur d'autorisation PayPal. À présent, Sanso a détecté une erreur dans la manière dont PayPal reconnaît un hôte local en tant que paramètre redirect_uri valide au cours du processus d'authentification. Il a dit que cette méthode implémentait à tort OAuth.

Jouer le système de validation

Sanso a ensuite utilisé le système de validation de PayPal et lui a révélé les jetons d'authentification OAuth, par ailleurs confidentiels. Il a réussi à tromper le système en ajoutant une certaine entrée du système de noms de domaine à son site Web, notant que localhost était le mot magique pour ignorer le processus de validation de correspondance exacte de PayPal.

Selon Sanso, cette vulnérabilité aurait pu compromettre n’importe quel client PayPal OAuth. Il a conseillé aux utilisateurs de créer un redirect_uri très spécifique lors de la création d'un client OAuth. Sanso a écrit dans un article de blog:

Enregistrez-vous https: // yourouauthclientcom / oauth / oauthprovider / callback. PAS JUSTE https: // yourouauthclientcom / ou https: // yourouauthclientcom / oauth.

Au début, PayPal ne croyait pas aux conclusions de Sanso, bien que la société ait finalement reconsidéré sa décision et publié un correctif pour corriger la faille.

Lire aussi:

  • 7 meilleurs logiciels de facturation Windows 10 à utiliser
  • Wallet pour Windows 10 Mobile apporte les paiements mobiles sans contact aux initiés

La vulnérabilité d'Outlook permet aux pirates de voler des mots de passe hachés

La vulnérabilité d'Outlook permet aux pirates de voler des mots de passe hachés

Microsoft Outlook est l'une des plates-formes de messagerie les plus populaires au monde. Je compte personnellement sur mon adresse électronique Outlook pour les tâches professionnelles et personnelles. Malheureusement, Outlook peut ne pas être aussi sécurisé que nous le souhaiterions les utilisateurs. Selon un rapport publié par le Carnegie Mellon Software Engineering Institute, Outlook…

Un bogue du gestionnaire de mots de passe Windows 10 permet aux pirates de voler des mots de passe

Un bogue du gestionnaire de mots de passe Windows 10 permet aux pirates de voler des mots de passe

Tavis Ormandy, chercheur en sécurité chez Google, a récemment découvert une vulnérabilité dissimulée dans le gestionnaire de mots de passe de Windows 10. Ce bug permet aux cyber-attaquants de voler des mots de passe. Cette faille vient avec l'application tierce Keeper Password Manager fournie avec tous les périphériques Windows 10 préinstallés. Il semble que cette faille ressemble beaucoup à celle-là…

Microsoft introduit un outil de résolution des problèmes d'activation pour résoudre les problèmes d'activation sur les périphériques Windows authentiques

Microsoft introduit un outil de résolution des problèmes d'activation pour résoudre les problèmes d'activation sur les périphériques Windows authentiques

Microsoft vient de publier un nouvel outil qui permettra aux utilisateurs de Windows 10 de résoudre plus facilement les problèmes d'activation. L'outil s'appelle Activation Troubleshooter et est actuellement disponible pour tous les initiés Windows 10 exécutant la dernière version de Windows 10 Preview. En raison du fonctionnement de Windows 10, les utilisateurs rencontrent plus souvent divers problèmes d'activation…

Paypal publie un correctif essentiel pour empêcher les pirates de voler des jetons authentiques

Le choix des éditeurs

Pomme
iStumbler - Recherchez facilement des réseaux Wi-Fi à partir de Mac

iStumbler - Recherchez facilement des réseaux Wi-Fi à partir de Mac

2024
Pomme
Cinq applis Mac OS X pour les Fêtes qui répandront de la joie sur tout votre bureau

Cinq applis Mac OS X pour les Fêtes qui répandront de la joie sur tout votre bureau

2024
Pomme
Dix utilitaires de ligne de commande OS X que vous ne connaissez peut-être pas

Dix utilitaires de ligne de commande OS X que vous ne connaissez peut-être pas

2024
Pomme
CoconutBattery - Obtenez des informations étendues sur la batterie des ordinateurs portables Mac

CoconutBattery - Obtenez des informations étendues sur la batterie des ordinateurs portables Mac

2024
Pomme
Comment lancer une application au démarrage du système sous Mac OS X

Comment lancer une application au démarrage du système sous Mac OS X

2024
Pomme
Comment régler manuellement le rétroéclairage du clavier du MacBook Pro

Comment régler manuellement le rétroéclairage du clavier du MacBook Pro

2024