贝宝(Paypal)发行了重要补丁,以防止黑客窃取OAuth令牌
目录:
视频: Что такое беглое (или немое) е во французском. Фонетика французского языка. 2024
OAuth是许多互联网巨头(包括PayPal)采用的基于令牌的身份验证的开放标准。 这就是为什么在在线支付服务中发现一个严重漏洞的原因,该漏洞可能使黑客能够窃取用户的OAuth令牌,这使得PayPal争先恐后推出了补丁程序。
安全研究员兼Adobe软件工程师Antonio Sanso在测试了自己的OAuth客户端后发现了该漏洞。 除PayPal外,Sanso还检测到了其他主要互联网服务(如Facebook和Google)中的相同漏洞。
Sanso说,问题出在PayPal处理 redirect_uri 参数以为应用程序提供某些身份验证令牌的方式上。 自2015年以来,该服务一直在使用增强的重定向检查来确认redirect_uri参数。不过,Sanso在9月开始调查系统时,并没有阻止Sanso绕过这些检查。
PayPal允许开发人员使用可以产生令牌请求的仪表板,以使其应用程序加入该服务。 然后将生成的令牌请求发送到PayPal授权服务器。 现在,Sanso发现了在验证过程中PayPal如何将本地主机识别为有效的redirect_uri参数的错误。 他说这种方法错误地实现了OAuth。
游戏验证系统
然后,Sanso继续使用游戏PayPal的验证系统,并让该系统显示否则为机密的OAuth验证令牌。 他设法通过在他的网站上添加某个域名系统条目来欺骗该系统,并指出本地主机是覆盖PayPal确切匹配验证过程的神奇词汇。
根据Sanso所说,该漏洞可能已经损害了任何PayPal OAuth客户端。 他建议用户在制作OAuth客户端时创建非常具体的redirect_uri。 Sanso在博客文章中写道:
请注册https:// yourouauthclientcom / oauth / oauthprovider / callback。 不只是https:// yourouauthclientcom /或https:// yourouauthclientcom / oauth。
PayPal起初不相信Sanso的发现,尽管该公司最终重新考虑了其决定,并已修复该漏洞。
另请阅读:
- 使用的7种最佳Windows 10发票软件
- Windows 10移动版钱包为Insiders带来了非接触式移动支付
贝宝(Paypal)的6个最佳VPN与专用IP地址
PayPal是一个全球在线支付系统,在全球拥有超过2亿客户。 如果您想频繁进行在线购物,贝宝(PayPal)是最常用的领先付款系统。 但是,如果您访问的不是本地国家的PayPal帐户或通过随机IP地址访问的PayPal帐户,则您的PayPal帐户可能会被禁止。 同时...