OAuth是许多互联网巨头（包括PayPal）采用的基于令牌的身份验证的开放标准。 这就是为什么在在线支付服务中发现一个严重漏洞的原因，该漏洞可能使黑客能够窃取用户的OAuth令牌，这使得PayPal争先恐后推出了补丁程序。

安全研究员兼Adobe软件工程师Antonio Sanso在测试了自己的OAuth客户端后发现了该漏洞。 除PayPal外，Sanso还检测到了其他主要互联网服务（如Facebook和Google）中的相同漏洞。

Sanso说，问题出在PayPal处理 redirect_uri 参数以为应用程序提供某些身份验证令牌的方式上。 自2015年以来，该服务一直在使用增强的重定向检查来确认redirect_uri参数。不过，Sanso在9月开始调查系统时，并没有阻止Sanso绕过这些检查。

PayPal允许开发人员使用可以产生令牌请求的仪表板，以使其应用程序加入该服务。 然后将生成的令牌请求发送到PayPal授权服务器。 现在，Sanso发现了在验证过程中PayPal如何将本地主机识别为有效的redirect_uri参数的错误。 他说这种方法错误地实现了OAuth。

游戏验证系统

然后，Sanso继续使用游戏PayPal的验证系统，并让该系统显示否则为机密的OAuth验证令牌。 他设法通过在他的网站上添加某个域名系统条目来欺骗该系统，并指出本地主机是覆盖PayPal确切匹配验证过程的神奇词汇。

根据Sanso所说，该漏洞可能已经损害了任何PayPal OAuth客户端。 他建议用户在制作OAuth客户端时创建非常具体的redirect_uri。 Sanso在博客文章中写道：

请注册https：// yourouauthclientcom / oauth / oauthprovider / callback。 不只是https：// yourouauthclientcom /或https：// yourouauthclientcom / oauth。

PayPal起初不相信Sanso的发现，尽管该公司最终重新考虑了其决定，并已修复该漏洞。

另请阅读：

• 使用的7种最佳Windows 10发票软件
• Windows 10移动版钱包为Insiders带来了非接触式移动支付