PayPal Patched un code à distance Exécution Bug Effrayant - Comment, Forum sur la sécurité PC et la technologie | SensorsTechForum.com
CYBER NOUVELLES

PayPal Patched un code à distance Exécution Bug Effrayant

paypal-bug-stfCe n'est jamais de bonnes nouvelles lorsque des vulnérabilités sont trouvées dans les services largement utilisés, tels que PayPal. Oui, l'un des derniers, défauts d'exécution de code à distance assez effrayant a été en effet découvert dans PayPal par un chercheur indépendant en Décembre 2015.

Other PayPal-Related News:
PayPal vulnérabilité permet à Piratage de compte
PayPal Phishing Schemes

Michael Stepankin has just reported a vulnerability that could enable malicious actors to take over production systems. The vulnerability is easily labeled critical as it affects manager.paypal.com. Heureusement, it was patched soon after it was disclosed.

A deep look into the vulnerability shows that arbitrary shell commands could have been executed on PayPal web servers via Java object deserialization and gaining access to production databases.

En savoir plus sur Java Deserialization Vulnerabilities

This is what the researcher has said, as reported by TheRegister:

While security testing of manager.paypal.com, my attention was attracted by unusual post form parameter “oldFormData” that looks like a complex object after base64 decoding. After some research I realised that it’s a Java serialised object without any signature handled by the application [laquelle] means that you can send serialised object of any existing class to a server and ‘readObjector ‘readResolvemethod of that class will be called.

Stepankin was rewarded $5000 for his findings. Curieusement, Stepankin’s bug report was more of a duplicate of another report sent to PayPal two days earlier by Mark Litchfield. Considering that fact, it’s weird that PayPal paid him. Bug bounty programs typically disregard duplicate reports.

avatar

Milena Dimitrova

Un écrivain inspiré et gestionnaire de contenu qui a été avec SensorsTechForum pour 4 ans. Bénéficie d' « M.. Robot » et les craintes de 1984 '. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Délai est épuisé. S'il vous plaît recharger CAPTCHA.

Partager sur Facebook Partager
Loading ...
Partager sur Twitter Tweet
Loading ...
Partager sur Google Plus Partager
Loading ...
Partager sur Linkedin Partager
Loading ...
Partager sur Digg Partager
Partager sur Reddit Partager
Loading ...
Partager sur Stumbleupon Partager
Loading ...