Les chercheurs ont divulgué des renseignements concernant certaines vulnérabilités intérieur applications web et mobiles des sites populaires de Yahoo, PayPal, Shopify et Magento. Cela aurait conduit à des attaques de phishing, détournement de sessions et même, vol de comptes.
Vulnérabilité chercheurs de laboratoire Ayoub Ait Elmokhtar, Benjamin Kunz Mejri, Ebrahim Hegazy et Hadji Samir ont fait la découverte des bogues plus tôt cette année, mais ont seulement maintenant ils les ont publiquement révélé.
La PayPal Vulnérabilités
Trois préoccupations distincts ont été trouvés dans la sécurité de PayPal, en particulier dans ses applications Web. Le plus grave de ces préoccupations est une vulnérabilité trouvée dans La vérification d'authentification de PayPal, dont le but est d'approuver le propriétaire du compte légitime. La vulnérabilité aurait pu conduire à une dérivation de ce processus de vérification par un attaquant.
Même lorsque la vérification en 2 étapes est activé sur l'application, où un utilisateur est bloqué si tapant des références erronées, le compte pourrait être à nouveau pénétré. Il y a deux semaines, Benjamin Mejri a déclaré sur le sujet que l'utilisateur peut entrer dans le compte d'un autre utilisateur via l'Application Programming Interface mobile simplement en remplaçant ancienne, biscuits périmés avec les nouveaux, ceux qui travaillent.
Parmi les possibles en 2 étapes contournement de l'authentification, il y avait un patch récent PayPal qui était à affecter un-redirect-web Open Vulnerability, trouvée par Ayoub Elmokhtar, qui aurait pu être exploité à distance. Que la vulnérabilité a abordé un autre qui était un stocké cross-site scripting bug dans l'application Web Service en ligne, qui aurait pu être exploitée pour l'achat de divers biens ou le transfert de fonds. Cette découverte particulière a été faite par Ayoub Elmokhtar.
La vulnérabilité Yahoo
Il y avait un autre sujet de préoccupation que les chercheurs publiées concernant le site de Yahoo pour les annonceurs - Gemini. Plus précisément il y avait un CSRF (Cross Site Request Forgery) punaise, ce qui aurait pu permettre à un pirate d'insérer du code malveillant de compromettre l'application côté client aux demandes du navigateur et les données de session.
Le Shopify et Magento Vulnérabilités
Dernier, mais pas des moindres, les chercheurs ont découvert deux différents implacables nom de fichier vulnérabilités dans deux plates-formes de e-commerce - La Magento de Shopify et eBay. Ces vulnérabilités pourraient ont conduit à un attaquant de mettre à distance dans leur propre code malveillant dans les modules de service des applications. Si cela se serait produit - cela aurait conduit à une série de problèmes pour les deux applications, telles que le détournement de sessions, les attaques de phishing implacables, redirections implacables à des sources externes ayant un contenu malveillant, entre autres.
La vulnérabilité la plus récente que chercheur Hadji Samir était trouvé dans le module Magento site pour les rapports de bogues. Un attaquant pourrait avoir téléchargé un script du code de la charge utile en tant que nom de fichier par un "post" et le script à exécuter, au lieu d'un rapport de bogue étant affiché.
Que pensez-vous de tout cela? Si les chercheurs ont exposé les bugs ou même plus tôt, immédiatement après qu'ils les avaient découvert? Vous sentez-vous toujours en sécurité en utilisant les sites mentionnés ci-dessus, même avec ces certaines vulnérabilités étant fixés?