Non è mai una buona notizia quando le vulnerabilità sono presenti in servizi ampiamente utilizzati come PayPal. Sì, uno degli ultimi, abbastanza spaventoso codice in modalità remota i difetti di esecuzione è stato infatti scoperto in PayPal da parte di un ricercatore indipendente nel mese di dicembre 2015.
Altre News PayPal-Related:
PayPal vulnerabilità Consente Account Dirottamento
Schemi PayPal phishing
Michael Stepankin ha appena riportato una vulnerabilità che potrebbe consentire agli attori maligni di prendere in consegna i sistemi di produzione. La vulnerabilità è facilmente etichettato critico poiché colpisce manager.paypal.com. Per fortuna, essa era stata modificata subito dopo è stato rivelato.
Uno sguardo in profondità nella vulnerabilità dimostra che comandi di shell arbitrari avrebbero potuto essere eseguiti su server web di PayPal tramite Java oggetto di deserializzazione e guadagnando l'accesso ai database di produzione.
Impara di più riguardo Java deserializzazione vulnerabilità
Questo è ciò che il ricercatore ha detto, come riportato da The Register:
Durante il test di sicurezza di manager.paypal.com, la mia attenzione fu attratta da insolito posta parametro di modulo “oldFormData”, che si presenta come un oggetto complesso dopo la decodifica base64. Dopo qualche ricerca mi sono reso conto che si tratta di un oggetto serializzato Java senza alcuna firma gestita dall'applicazione [quale] significa che è possibile inviare oggetto serializzato di qualsiasi classe esistente a un server e ‘readObject’ o ‘readResolve’ il metodo di quella classe si chiamerà.
Stepankin è stata premiata $5000 per le sue scoperte. È interessante notare che, bug report di Stepankin era più di un duplicato di un altro rapporto inviato a PayPal due giorni prima da Mark Litchfield. Considerando questo fatto, E 'strano che PayPal lo ha pagato. programmi di taglie bug in genere ignorano rapporti duplicati.