Nunca es una buena noticia cuando las vulnerabilidades se encuentran en los servicios ampliamente utilizados como PayPal. Sí, una de las últimas, bastante miedo defectos ejecución remota de código era de hecho descubiertos en PayPal por un investigador independiente en diciembre 2015.
Otros relacionados con PayPal Noticias:
PayPal vulnerabilidad permite el robo de cuentas
Esquemas PayPal phishing
Michael Stepankin acaba de informar de una vulnerabilidad que podría permitir a los actores maliciosos para hacerse cargo de los sistemas de producción. La vulnerabilidad es fácilmente etiquetada crítica, ya que afecta a manager.paypal.com. Por suerte, que fue parcheado poco después de que se dio a conocer.
Una mirada profunda en la vulnerabilidad muestra que los comandos shell arbitrarios podrían haber sido ejecutados en los servidores web de PayPal a través de Java objeto deserialización y el acceso a bases de datos de producción.
Aprender más acerca de Java Deserialización vulnerabilidades
Esto es lo que el investigador ha dicho, según lo informado por TheRegister:
Mientras que las pruebas de seguridad de manager.paypal.com, mi atención fue atraída por el parámetro forma inusual post “oldFormData” que se ve como un objeto complejo después de la decodificación base 64. Después de algunas investigaciones me di cuenta que se trata de un objeto serializado Java sin ninguna firma a cargo de la aplicación [cual] significa que puede enviar un objeto serializado de cualquier clase existente a un servidor y ‘readObject’ o ‘readResolve’ método de esa clase se llama.
Stepankin fue recompensado $5000 por sus hallazgos. Curiosamente, informe de error de Stepankin era más de un duplicado de otro informe enviado a PayPal dos días antes por Mark Litchfield. Teniendo en cuenta este hecho, que es raro que PayPal le pagó. programas de recompensas de errores por lo general hacen caso omiso informes duplicados.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: