Ce n'est jamais de bonnes nouvelles lorsque des vulnérabilités sont trouvées dans les services largement utilisés, tels que PayPal. Oui, l'un des derniers, défauts d'exécution de code à distance assez effrayant a été en effet découvert dans PayPal par un chercheur indépendant en Décembre 2015.
Autres Nouvelles PayPal liés:
PayPal vulnérabilité permet à Piratage de compte
PayPal systèmes d'hameçonnage
Michael Stepankin vient une vulnérabilité qui pourrait permettre aux acteurs malveillants de prendre en charge les systèmes de production. La vulnérabilité est facilement étiquetée critique car elle affecte manager.paypal.com. Heureusement, il a été patché peu de temps après il a été révélé.
Un regard profond dans les spectacles de vulnérabilité arbitraires commandes shell auraient pu être exécutés sur des serveurs web PayPal via objet Java désérialisation et d'accéder aux bases de données de production.
En savoir plus sur Java Désérialisation vulnérabilités
C'est ce que le chercheur a dit, tel que rapporté par TheRegister:
Lors du test de sécurité manager.paypal.com, mon attention a été attirée par le paramètre de forme post inhabituel « oldFormData » qui ressemble à un objet complexe après décodage base64. Après quelques recherches, j'ai réalisé qu'il est un objet Java sérialisé sans signature traitée par l'application [laquelle] signifie que vous pouvez envoyer objet sérialisé d'une classe existante à un serveur et « readObject’ ou « readResolve’ méthode de cette classe sera appelée.
Stepankin a été récompensé $5000 pour ses conclusions. Curieusement, Le rapport de bogue de Stepankin était plus un duplicata d'un autre rapport envoyé à PayPal deux jours plus tôt par Mark Litchfield. Considérant que fait, il est bizarre que PayPal lui a payé. programmes de primes Bug ne tiennent pas compte en général des rapports en double.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: