پیپال یک آسیبپذیری فیشینگ را اصلاح نموده که این آسیبپذیری میتواند به نفوذگران اجازه دهد تا هر توکن OAuth را برای برنامههای پرداخت خود و نیز دسترسی به حسابهای کاربری به سرقت ببرند.
آنتونیو سانسو، مهندس نرمافزار شرکت ادوبی و کارشناس OAuth پس از مشاهدهی تغییر مسیر نادرست URLها موفق به کشف این شکاف درخواست توکن شده است.
وی متوجه شد که تنظیمات کارگزار احراز هویت پیپال به گونهای است که وقتی درخواستهای توکن OAuth را با داشبورد توسعه مدیریت میکند ممکن است به نحوی دستکاری شود که localhost را به عنوان یک redirect_uri بپذیرد.
سانسو شکاف redirect_uri را با دستکاری درخواستهای انجامگرفته توسط برنامهی OAuth پیپال نشان داده است، برنامهای که مقدار https://demo.paypal.com/loginsuccessful& را برای redirect_uri ثبتشدهی حقیقی تنظیم مینماید.
وی سپس یک مدخل DNS را برای http://localhost.intothesymmetry.com امضاء میکند تا درخواستها را به تصرف خود دربیاورد.
در نتیجه واقعاً به نظر میرسد که حتی اگر پیپال هم این اعتبارسنجی را انجام نداده باشد، localhost یک کلمهی جادویی بوده و اعتبارسنجی را بهطور کلی دور زده است.
پیپال در ابتدای این ماه این خطا را گزارش نمود. سانسو هم چند مورد خطای redirect_uri مشابه را در سال ۲۰۱۴ به فیسبوک گزارش کرده بود، شکافهایی که توکنهای دسترسی OAuth را به سرقت میبرند.
او میگوید توسعهدهندگانی که از OAuth استفاده میکنند میبایست آدرسهای کامل و واقعی redirect_uri را بدون هرگونه تغییر مسیر جایگزینی به ثبت برسانند تا به این شیوه از برنامههای خود حفاظت نمایند.
پیپال حسابهای کاربری پیپال وصلهای برای آسیبپذیری برنامهی OAuth نظر گرفت
اولین نفری باشید که در این مورد نظرتان را بنویسید