పేట్పాల్ హ్యాకర్లు ఓత్ టోకెన్లను దొంగిలించకుండా నిరోధించడానికి క్లిష్టమైన ప్యాచ్‌ను జారీ చేస్తుంది

విషయ సూచిక:

వీడియో: Faith Evans feat. Stevie J – "A Minute" [Official Music Video] 2024

వీడియో: Faith Evans feat. Stevie J – "A Minute" [Official Music Video] 2024
Anonim

పేపాల్‌తో సహా అనేక ఇంటర్నెట్ దిగ్గజాలు ఉపయోగించే టోకెన్-ఆధారిత ప్రామాణీకరణ కోసం OAuth ఓపెన్ స్టాండర్డ్‌గా పనిచేస్తుంది. అందువల్ల వినియోగదారుల నుండి OAuth టోకెన్లను దొంగిలించడానికి హ్యాకర్లను అనుమతించే ఆన్‌లైన్ చెల్లింపుల సేవలో ఒక క్లిష్టమైన లోపం కనుగొనడం పేపాల్ స్క్రాంబ్లింగ్‌ను ఒక ప్యాచ్‌ను బయటకు పంపించడానికి పంపింది.

భద్రతా పరిశోధకుడు మరియు అడోబ్ సాఫ్ట్‌వేర్ ఇంజనీర్ అయిన ఆంటోనియో సాన్సో తన సొంత OAuth క్లయింట్‌ను పరీక్షించిన తర్వాత ఈ లోపాన్ని కనుగొన్నాడు. పేపాల్‌తో పాటు, ఫేస్‌బుక్ మరియు గూగుల్ వంటి ఇతర ప్రధాన ఇంటర్నెట్ సేవల్లో కూడా సాన్సో అదే దుర్బలత్వాన్ని గుర్తించింది.

అనువర్తనాలకు నిర్దిష్ట ప్రామాణీకరణ టోకెన్లను ఇవ్వడానికి పేపాల్ దారిమార్పు_యూరి పరామితిని నిర్వహించే విధానంలో సమస్య ఉందని సాన్సో చెప్పారు. దారిమార్పు_యూరి పరామితిని ధృవీకరించడానికి ఈ సేవ 2015 నుండి మెరుగైన దారిమార్పు తనిఖీలను ఉపయోగిస్తోంది. అయినప్పటికీ, సెప్టెంబరులో వ్యవస్థపై దర్యాప్తు ప్రారంభించినప్పుడు సాన్సో ఈ తనిఖీలను దాటవేయకుండా ఆపలేదు.

పేపాల్ డెవలపర్‌లను వారి అనువర్తనాలను సేవతో చేర్చుకోవడానికి టోకెన్ అభ్యర్థనలను ఉత్పత్తి చేయగల డాష్‌బోర్డ్‌ను ఉపయోగించడానికి అనుమతిస్తుంది. ఫలితంగా టోకెన్ అభ్యర్థనలు పేపాల్ ప్రామాణీకరణ సర్వర్‌కు పంపబడతాయి. ఇప్పుడు, ప్రామాణీకరణ ప్రక్రియలో పేపాల్ లోకల్ హోస్ట్‌ను చెల్లుబాటు అయ్యే దారిమార్పు_యూరి పరామితిగా ఎలా గుర్తించాలో సాన్సో లోపం కనుగొంది. ఈ పద్ధతి OAuth ను తప్పుగా అమలు చేసిందని ఆయన అన్నారు.

ధ్రువీకరణ వ్యవస్థను గేమింగ్ చేస్తుంది

సాన్సో అప్పుడు పేపాల్ యొక్క ధ్రువీకరణ వ్యవస్థకు వెళ్లి, లేకపోతే రహస్యమైన OAuth ప్రామాణీకరణ టోకెన్లను బహిర్గతం చేస్తుంది. అతను తన వెబ్‌సైట్‌కు ఒక నిర్దిష్ట డొమైన్ నేమ్ సిస్టమ్ ఎంట్రీని జోడించడం ద్వారా సిస్టమ్‌ను మోసగించగలిగాడు, పేపాల్ యొక్క ఖచ్చితమైన సరిపోలిక ధ్రువీకరణ ప్రక్రియను అధిగమించడానికి లోకల్ హోస్ట్ మేజిక్ పదంగా పనిచేస్తుందని పేర్కొన్నాడు.

సాన్సో ప్రకారం బలహీనత ఏదైనా పేపాల్ OAuth క్లయింట్‌ను రాజీ చేస్తుంది. OAuth క్లయింట్‌ను తయారుచేసేటప్పుడు చాలా ప్రత్యేకమైన దారిమార్పు_యూరిని సృష్టించమని ఆయన వినియోగదారులకు సూచించారు. సాన్సో ఒక బ్లాగ్ పోస్ట్‌లో ఇలా వ్రాశాడు:

DO రిజిస్టర్ https: // yourouauthclientcom / oauth / oauthprovider / callback. కేవలం https: // yourouauthclientcom / లేదా https: // yourouauthclientcom / oauth.

పేన్పాల్ మొదట సాన్సో యొక్క ఫలితాలను నమ్మలేదు, అయినప్పటికీ సంస్థ చివరికి తన నిర్ణయాన్ని పున ons పరిశీలించి, ఇప్పుడు లోపానికి పరిష్కారాన్ని జారీ చేసింది.

ఇవి కూడా చదవండి:

  • ఉపయోగించడానికి 7 ఉత్తమ విండోస్ 10 ఇన్వాయిస్ సాఫ్ట్‌వేర్
  • విండోస్ 10 మొబైల్ కోసం వాలెట్ ఇన్‌సైడర్‌లకు కాంటాక్ట్‌లెస్ మొబైల్ చెల్లింపులను తెస్తుంది
పేట్పాల్ హ్యాకర్లు ఓత్ టోకెన్లను దొంగిలించకుండా నిరోధించడానికి క్లిష్టమైన ప్యాచ్‌ను జారీ చేస్తుంది