CYBER NEWS

Sicherheitslücken in Yahoo Revealed, PayPal, Shopify und Magento Apps

Forscher haben Informationen über bestimmte Schwachstellen im Inneren Web-und mobilen Anwendungen der beliebtesten Websites Yahoo offen, PayPal, Shopify und Magento. Dies könnte zu einer Phishing-Angriffe geführt haben, Entführung von Sessions und sogar, Diebstahl von Konten.

p15_0000

Vulnerability Lab Forscher Ayoub Ait Elmokhtar, Benjamin Kunz Mejri, Ebrahim Hegazy und Hadji Samir haben Entdeckung der Fehler früher in diesem Jahr, aber erst jetzt haben sie enthüllt sie öffentlich.

Die PayPal-Sicherheitsanfälligkeiten

Drei getrennte Bedenken wurden in der PayPal-Sicherheit gefunden, speziell in seinen Web-Anwendungen. Die schwerwiegendste dieser Bedenken ist eine Schwachstelle gefunden PayPal-Authentifizierungsprüfung, wozu der berechtigten Kontoinhaber zu genehmigen. Die Sicherheitsanfälligkeit kann von einem Angreifer zu einem Bypass des Verifizierungsprozesses geführt haben.

Selbst wenn man 2-Schritt Prüfung basiert auf der Anwendung aktiviert, wo ein Benutzer blockiert wird, wenn in der falschen Anmeldeinformationen eingeben, das Konto wieder durchdrungen werden kann. Vor zwei Wochen, Benjamin Mejri erklärte zu dem Thema, dass ein Benutzer in einem anderen Benutzerkonto über das mobile Application Programming Interface nur durch den Austausch alter bekommen, abgelaufene Cookies mit neueren, Arbeits diejenigen.

Unter den möglichen 2-Schritt-Authentifizierungs-Bypass, gab es einen letzten Patch von PayPal, die beeinflussen sollte ein Open-Redirect-Web Vulnerability, gefunden von Ayoub Elmokhtar, die aus der Ferne ausgenutzt worden sein könnte. Das beschriebene Sicherheitsanfälligkeit eine andere, die eine war gespeichert Cross-Site-Scripting-Fehler in der Online-Service-Web-Anwendung, die für den Kauf verschiedenen Güter ausgebeutet worden sein könnte oder die Übertragung von Geldern. Diese besondere Entdeckung wurde gemacht von Ayoub Elmokhtar.

Die Yahoo Vulnerability

Es gab eine weitere Anliegen, die die Forscher für Werbetreibende in Bezug auf Yahoo-Website offenbart - Gemini. Genauer gesagt war es ein CSRF (Cross Site Request Forgery) Fehler, die es einem Angreifer einfügen bösartigen Code zu gefährden die clientseitige Anwendung Browser-Anfragen und die Sitzungsdaten erlaubt haben könnte.

Die Shopify und Magento Vulnerabilities

Letzte, aber nicht zuletzt, die Forscher haben zwei verschiedene unnachgiebige Dateinamen Schwachstellen in zwei Plattformen für E-Commerce aufgedeckt - Shopify und eBays Magento. Diese Schwachstellen einen Angreifer könnten führten zu der Ferne in ihrem eigenen bösartigen Code in dem Dienst Module der Anwendungen. Wenn das passiert wäre - es zu einer Reihe von Problemen geführt für die beiden Anwendungen haben könnte, wie Hijacking von Sitzungen, unnachgiebige Phishing-Attacken, unnachgiebige Umleitungen zu externen Quellen mit schädlichen Inhalten, unter anderem.

Die jüngste Verwundbarkeit, dass Forscher Hadji Samir war in Magento Website-Modul für Fehlerberichte gefunden. Ein Angreifer könnte einen Skript von Ladecode als Dateinamen durch einen „Post“ und das Skript hochgeladen auszuführen, statt einen Fehlerbericht wird veröffentlicht.

Was denken Sie über all dies? Sollten die Forscher haben die Fehler früher ausgesetzt oder sogar, unmittelbar nach hatten sie sie entdeckt? Erinnern Sie sich noch sicher fühlen, die oben genannten Websites mit, auch bei diesen bestimmten Schwachstellen behoben werden?

Avatar

Berta Bilbao

Berta ist ein spezieller Malware-Forscher, Träumen für eine sichere Cyberspace. Ihre Faszination für die IT-Sicherheit begann vor ein paar Jahren, wenn eine Malware sie aus ihrem eigenen Computer gesperrt.

Mehr Beiträge

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Frist ist erschöpft. Bitte laden CAPTCHA.

Auf Facebook teilen Teilen
Loading ...
Empfehlen über Twitter Tweet
Loading ...
Share on Google Plus Teilen
Loading ...
Share on Linkedin Teilen
Loading ...
Empfehlen über Digg Teilen
Teilen auf Reddit Teilen
Loading ...
Empfehlen über Stumbleupon Teilen
Loading ...