Hjem > Cyber ​​Nyheder > PayPal lappede en skræmmende fejlkode -eksekveringsfejl
CYBER NEWS

PayPal Patched en Scary fjernbetjening kode Bug

paypal-bug-STFDet er aldrig en god nyhed, når sårbarheder findes i udbredte tjenester såsom PayPal. Ja, en af ​​de nyeste, ganske skræmmende fjernkørsel af programkode fejl blev faktisk opdaget i PayPal af en uafhængig forsker i december 2015.

Andre PayPal-relaterede nyheder:
PayPal Sårbarhed Tillader Kontokapring
PayPal Phishing Ordninger

Michael Stepankin har netop rapporteret en sårbarhed, der kunne gøre det muligt for ondsindede aktører til at overtage produktionssystemer. Sårbarheden let mærkes kritisk, da det påvirker manager.paypal.com. Heldigvis, det blev lappet hurtigt efter det blev afsløret.

En dyb kig ind i sårbarheden viser, at vilkårlige shell-kommandoer kunne have været henrettet på PayPal webservere via Java-objekt deserialization og få adgang til produktionsdatabaser.

Lær mere om Java deserialization Sårbarheder

Dette er, hvad forskeren har sagt, som rapporteret af TheRegister:

Mens sikkerhedstest af manager.paypal.com, min opmærksomhed blev tiltrukket af usædvanlig indlæg formular parameteren ”oldFormData”, der ligner en kompleks objekt efter base64 afkodning. Efter nogle forskning indså jeg, at det er en Java føljeton objekt uden underskrift håndteres af ansøgningen [hvilken] betyder, at du kan sende føljeton genstand for nogen eksisterende klasse til en server og ’readObject’ eller ’readResolve’ fremgangsmåde til denne klasse vil blive kaldt.

Stepankin blev belønnet $5000 for hans resultater. Interessant nok, Stepankin s fejlrapport var mere af en kopi af en anden rapport sendt til PayPal to dage tidligere af Mark Litchfield. I betragtning af denne omstændighed, det er underligt, at PayPal betalte ham. Bug bounty-programmer typisk se bort duplikerede rapporter.

Milena Dimitrova

En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Fortrolighedspolitik.
Jeg er enig