Forscher haben Informationen über bestimmte Schwachstellen im Inneren Web-und mobilen Anwendungen der beliebtesten Websites Yahoo offen, PayPal, Shopify und Magento. Dies könnte zu einer Phishing-Angriffe geführt haben, Entführung von Sessions und sogar, Diebstahl von Konten.
Vulnerability Lab Forscher Ayoub Ait Elmokhtar, Benjamin Kunz Mejri, Ebrahim Hegazy und Hadji Samir haben Entdeckung der Fehler früher in diesem Jahr, aber erst jetzt haben sie enthüllt sie öffentlich.
Die PayPal-Sicherheitsanfälligkeiten
Drei getrennte Bedenken wurden in der PayPal-Sicherheit gefunden, speziell in seinen Web-Anwendungen. Die schwerwiegendste dieser Bedenken ist eine Schwachstelle gefunden PayPal-Authentifizierungsprüfung, wozu der berechtigten Kontoinhaber zu genehmigen. Die Sicherheitsanfälligkeit kann von einem Angreifer zu einem Bypass des Verifizierungsprozesses geführt haben.
Selbst wenn man 2-Schritt Prüfung basiert auf der Anwendung aktiviert, wo ein Benutzer blockiert wird, wenn in der falschen Anmeldeinformationen eingeben, das Konto wieder durchdrungen werden kann. Vor zwei Wochen, Benjamin Mejri erklärte zu dem Thema, dass ein Benutzer in einem anderen Benutzerkonto über das mobile Application Programming Interface nur durch den Austausch alter bekommen, abgelaufene Cookies mit neueren, Arbeits diejenigen.
Unter den möglichen 2-Schritt-Authentifizierungs-Bypass, gab es einen letzten Patch von PayPal, die beeinflussen sollte ein Open-Redirect-Web Vulnerability, gefunden von Ayoub Elmokhtar, die aus der Ferne ausgenutzt worden sein könnte. Das beschriebene Sicherheitsanfälligkeit eine andere, die eine war gespeichert Cross-Site-Scripting-Fehler in der Online-Service-Web-Anwendung, die für den Kauf verschiedenen Güter ausgebeutet worden sein könnte oder die Übertragung von Geldern. Diese besondere Entdeckung wurde gemacht von Ayoub Elmokhtar.
Die Yahoo Vulnerability
Es gab eine weitere Anliegen, die die Forscher für Werbetreibende in Bezug auf Yahoo-Website offenbart - Gemini. Genauer gesagt war es ein CSRF (Cross Site Request Forgery) Fehler, die es einem Angreifer einfügen bösartigen Code zu gefährden die clientseitige Anwendung Browser-Anfragen und die Sitzungsdaten erlaubt haben könnte.
Die Shopify und Magento Vulnerabilities
Letzte, aber nicht zuletzt, die Forscher haben zwei verschiedene unnachgiebige Dateinamen Schwachstellen in zwei Plattformen für E-Commerce aufgedeckt - Shopify und eBays Magento. Diese Schwachstellen einen Angreifer könnten führten zu der Ferne in ihrem eigenen bösartigen Code in dem Dienst Module der Anwendungen. Wenn das passiert wäre - es zu einer Reihe von Problemen geführt für die beiden Anwendungen haben könnte, wie Hijacking von Sitzungen, unnachgiebige Phishing-Attacken, unnachgiebige Umleitungen zu externen Quellen mit schädlichen Inhalten, unter anderem.
Die jüngste Verwundbarkeit, dass Forscher Hadji Samir war in Magento Website-Modul für Fehlerberichte gefunden. Ein Angreifer könnte einen Skript von Ladecode als Dateinamen durch einen „Post“ und das Skript hochgeladen auszuführen, statt einen Fehlerbericht wird veröffentlicht.
Was denken Sie über all dies? Sollten die Forscher haben die Fehler früher ausgesetzt oder sogar, unmittelbar nach hatten sie sie entdeckt? Erinnern Sie sich noch sicher fühlen, die oben genannten Websites mit, auch bei diesen bestimmten Schwachstellen behoben werden?