Ang OAuth ay nagsisilbing isang bukas na pamantayan para sa pagpapatunay na batay sa token na ginagamit ng maraming mga higante sa internet, kabilang ang PayPal. Iyon ang dahilan kung bakit ang pagtuklas ng isang kritikal na kapintasan sa serbisyo sa online na pagbabayad na maaaring pinahintulutan ang mga hacker na magnakaw ng mga token ng OAuth mula sa mga gumagamit ay pinadalhan ng PayPal ang pag-scroll sa isang patch.

Si Antonio Sanso, isang security researcher at Adobe software engineer, ay natuklasan ang kapintasan matapos niyang masuri ang kanyang sariling kliyente ng OAuth. Bilang karagdagan sa PayPal, nakita rin ni Sanso ang parehong kahinaan sa iba pang mga pangunahing serbisyo sa internet tulad ng Facebook at Google.

Sinabi ni Sanso na ang problema ay namamalagi sa paraang pinangangasiwaan ng PayPal ang redirect_uri na parameter upang mabigyan ang mga aplikasyon ng ilang mga token sa pagpapatunay. Ang serbisyo ay gumagamit ng pinahusay na mga tseke sa redirect upang kumpirmahin ang parameter ng redirect_uri mula noong 2015. Gayunman, hindi nito napigilan ang Sanso na maiiwasan ang mga tseke nang magsimula siyang mag-imbestiga sa system noong Setyembre.

Pinapayagan ng PayPal ang mga developer na gumamit ng isang dashboard na maaaring makagawa ng mga kahilingan sa token upang mailista ang kanilang mga app sa serbisyo. Ang nagreresultang mga kahilingan ng token ay pagkatapos ay ipinadala sa isang server ng pahintulot ng PayPal. Ngayon, natagpuan ni Sanso ang isang error sa kung paano kinikilala ng PayPal ang isang localhost bilang isang wastong redirect_uri parameter sa panahon ng proseso ng pagpapatunay. Sinabi niya na ang pamamaraang ito ay maling ipinatupad sa OAuth.

Ang sistema ng pagpapatunay ng sistema

Nagpapatuloy si Sanso sa laro ng pagpapatunay ng PayPal ng laro at ipahayag nito ang hindi man kumpidensyal na mga token ng pagpapatunay ng OAuth. Pinamamahalaang niyang linlangin ang system sa pamamagitan ng pagdaragdag ng isang tiyak na pagpasok ng system ng domain ng domain sa kanyang website, na napapansin na ang localhost ay nagsilbi bilang magic word para sa overriding na eksaktong pagpapatunay ng proseso ng PayPal.

Ang kahinaan ay maaaring makompromiso ang anumang kliyente ng PayPal OAuth ayon kay Sanso. Pinayuhan niya ang mga gumagamit na lumikha ng isang napaka tukoy na redirect_uri kapag gumagawa ng isang kliyente ng OAuth. Sumulat si Sanso sa isang post sa blog:

Irehistro ang https: // yourouauthclientcom / oauth / oauthprovider / callback. HINDI LANG HINDI https: // yourouauthclientcom / o https: // yourouauthclientcom / oauth.

Hindi naniniwala ang PayPal sa mga natuklasan ni Sanso, kahit na sa huli ay inisaalang-alang ng kumpanya ang desisyon nito at naglabas ngayon ng isang pag-aayos sa kapintasan.

Basahin din:

• 7 pinakamahusay na Windows 10 invoice software na gagamitin
• Ang Wallet para sa Windows 10 Mobile ay nagdudulot ng mga contact na mobile contact sa Mga Tagaloob