Det er aldrig en god nyhed, når sårbarheder findes i udbredte tjenester såsom PayPal. Ja, en af de nyeste, ganske skræmmende fjernkørsel af programkode fejl blev faktisk opdaget i PayPal af en uafhængig forsker i december 2015.
Andre PayPal-relaterede nyheder:
PayPal Sårbarhed Tillader Kontokapring
PayPal Phishing Ordninger
Michael Stepankin har netop rapporteret en sårbarhed, der kunne gøre det muligt for ondsindede aktører til at overtage produktionssystemer. Sårbarheden let mærkes kritisk, da det påvirker manager.paypal.com. Heldigvis, det blev lappet hurtigt efter det blev afsløret.
En dyb kig ind i sårbarheden viser, at vilkårlige shell-kommandoer kunne have været henrettet på PayPal webservere via Java-objekt deserialization og få adgang til produktionsdatabaser.
Lær mere om Java deserialization Sårbarheder
Dette er, hvad forskeren har sagt, som rapporteret af TheRegister:
Mens sikkerhedstest af manager.paypal.com, min opmærksomhed blev tiltrukket af usædvanlig indlæg formular parameteren ”oldFormData”, der ligner en kompleks objekt efter base64 afkodning. Efter nogle forskning indså jeg, at det er en Java føljeton objekt uden underskrift håndteres af ansøgningen [hvilken] betyder, at du kan sende føljeton genstand for nogen eksisterende klasse til en server og ’readObject’ eller ’readResolve’ fremgangsmåde til denne klasse vil blive kaldt.
Stepankin blev belønnet $5000 for hans resultater. Interessant nok, Stepankin s fejlrapport var mere af en kopi af en anden rapport sendt til PayPal to dage tidligere af Mark Litchfield. I betragtning af denne omstændighed, det er underligt, at PayPal betalte ham. Bug bounty-programmer typisk se bort duplikerede rapporter.