Los investigadores han revelado información acerca de ciertas vulnerabilidades dentro web y aplicaciones móviles de los sitios más populares de Yahoo, PayPal, Shopify y Magento. Esto podría haber dado lugar a ataques de phishing, secuestro de sesiones e incluso, robo de cuentas.
Investigadores de laboratorio Vulnerabilidad Ayoub Ait Elmokhtar, Benjamin Kunz Mejri, Ebrahim Hegazy y Hadji Samir han hecho el descubrimiento de los errores a principios de este año, pero sólo tienen ahora que ellos revelaron públicamente.
La PayPal Vulnerabilidades
Tres preocupaciones separadas se han encontrado en la seguridad de PayPal, específicamente en sus aplicaciones web. El más grave de esas preocupaciones es una vulnerabilidad encontrada en Comprobación de autenticación de PayPal, cuya finalidad es aprobar el propietario de la cuenta legítima. La vulnerabilidad podría haber dado lugar a una derivación de ese proceso de verificación por un atacante.
Incluso cuando la verificación en 2 pasos está habilitada en la aplicación, donde un usuario se bloquea si escribiendo credenciales equivocadas, la cuenta de nuevo podría ser penetrado. Hace dos semanas, Benjamin Mejri aparece en el tema que un usuario puede entrar en la cuenta de otro usuario a través de la aplicación móvil de interfaz de programación simplemente mediante la sustitución de edad, galletas caducadas con más nuevo, los que trabajan.
Entre la posible omisión de autenticación de 2 pasos, hubo un parche reciente de PayPal que iba a afectar un redireccionamiento web abierta vulnerabilidad, encontrado por Ayoub Elmokhtar, que podría haber sido explotada de forma remota. Esa vulnerabilidad se dirigió a otra que era un almacenado cross-site scripting bug en la aplicación web de servicio en línea, que podrían haber sido explotados para la adquisición de diversos bienes o la transferencia de fondos. Este descubrimiento en particular fue hecho por Ayoub Elmokhtar.
La vulnerabilidad de Yahoo
Había otro motivo de preocupación que los investigadores dan a conocer en relación con el sitio de Yahoo para los anunciantes - Gemini. Más específicamente hubo una CSRF (Cross Site Request Falsificación) insecto, que podría haber permitido a un atacante insertar código malintencionado poner en peligro la aplicación de cliente para solicitudes del navegador y los datos de sesión.
El Shopify y Magento Vulnerabilidades
Último, pero no menos importante, los investigadores han descubierto dos vulnerabilidades de nombre de archivo implacables diferentes en dos plataformas de comercio electrónico - Shopify y de eBay Magento. Esas vulnerabilidades podrían haber dado lugar a un atacante poner remotamente en su propio código malicioso en los módulos de servicio de las aplicaciones. Si eso hubiera sucedido - que podría haber dado lugar a una serie de problemas para las dos aplicaciones, tales como secuestro de sesiones, implacables ataques de phishing, redirecciones implacables a fuentes externas con contenido malicioso, entre otras cosas.
El más reciente vulnerabilidad que el investigador Hadji Samir encontró fue en el módulo de Magento sitio para informes de errores. Un atacante podría haber subido un script de código de carga útil como un nombre de archivo a través de un "post" y la secuencia de comandos para ejecutar, en lugar de un informe de error que se registró.
¿Qué piensas de todo esto? Si los investigadores han puesto de manifiesto los errores tarde o incluso, inmediatamente después de haberlos descubierto? ¿Todavía se siente seguro utilizando los sitios antes mencionados, incluso con aquellos ciertas vulnerabilidades fijándose?
