PayPalなどの広く使用されているサービスに脆弱性が見つかった場合、それは決して良いニュースではありません。. はい, 最新の1つ, 非常に恐ろしいリモートコード実行の欠陥が、12月に独立した研究者によってPayPalで実際に発見されました 2015.
その他のPayPal関連のニュース:
PayPalの脆弱性によりアカウントの乗っ取りが可能
PayPalフィッシングスキーム
Michael Stepankinが、悪意のある攻撃者が本番システムを乗っ取る可能性のある脆弱性を報告しました. この脆弱性はmanager.paypal.comに影響を与えるため、簡単に重大とラベル付けされます. 幸いなことに, 公開後すぐにパッチが適用されました.
脆弱性を詳しく調べると、Javaオブジェクトの逆シリアル化と本番データベースへのアクセスを介してPayPalWebサーバーで任意のシェルコマンドが実行された可能性があることがわかります。.
詳細については Javaの逆シリアル化の脆弱性
これは研究者が言ったことです, TheRegisterによって報告されたように:
manager.paypal.comのセキュリティテスト中, 私の注意は、base64デコード後の複雑なオブジェクトのように見える珍しい投稿フォームパラメータ「oldFormData」に惹かれました。. いくつかの調査の結果、アプリケーションで処理される署名のないJavaシリアル化オブジェクトであることがわかりました。 [どれの] これは、既存のクラスのシリアル化されたオブジェクトをサーバーに送信し、'readObjectを送信できることを意味します。’ または'readResolve’ そのクラスのメソッドが呼び出されます.
ステパンキンは報われた $5000 彼の発見のために. 大変興味深いことに, Stepankinのバグレポートは、MarkLitchfieldが2日前にPayPalに送信した別のレポートの複製でした。. その事実を考慮して, PayPalが彼に支払ったのは奇妙です. バグバウンティプログラムは通常、重複したレポートを無視します.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: