研究者は、人気のあるサイトYahooのWebおよびモバイルアプリケーション内の特定の脆弱性に関する情報を開示しました, PayPal, ShopifyとMagento. これはフィッシング攻撃につながる可能性があります, セッションのハイジャック、さらには, アカウントの盗難.
脆弱性ラボの研究者AyoubAitElmokhtar, ベンジャミン・クンツ・メジリ, EbrahimHegazyとHadjiSamirは、今年初めにバグを発見しました, しかし今だけ彼らはそれらを公に明らかにしました.
PayPalの脆弱性
PayPalのセキュリティには3つの個別の懸念があります, 特にそのWebアプリケーションで. これらの懸念の中で最も深刻なのは、 PayPalの認証チェック, 正当なアカウント所有者を承認するのはどの目的ですか. この脆弱性は、攻撃者によるその検証プロセスのバイパスにつながる可能性があります.
アプリケーションで2段階認証が有効になっている場合でも, 間違ったクレデンシャルを入力するとユーザーがブロックされる場所, アカウントが再び侵入される可能性があります. 2週間前に, Benjamin Mejriは、ユーザーが古いものを置き換えるだけで、モバイルアプリケーションプログラミングインターフェイスを介して別のユーザーのアカウントにアクセスできると述べました。, 新しいCookieで期限切れ, 働くもの.
可能な2段階認証バイパスの中で, 影響を与えることになっていたPayPalによる最近のパッチがありました open-redirect-webの脆弱性, AyoubElmokhtarによって発見されました, リモートで悪用された可能性があります. その脆弱性は、 保存されたクロスサイトスクリプティングのバグ オンラインサービスWebアプリケーションで, さまざまな商品の購入や資金の移動に悪用された可能性があります. この特定の発見は、AyoubElmokhtarによって行われました。.
Yahooの脆弱性
Yahooの広告主向けサイトに関して研究者が開示したもう1つの懸念事項がありました– Gemini. より具体的には、 CSRF (クロスサイトリクエストフォージェリ) バグ, これにより、攻撃者が悪意のあるコードを挿入して、クライアント側のアプリケーションをブラウザの要求やセッションデータに危険にさらす可能性があります。.
ShopifyとMagentoの脆弱性
最後, でも大事なこと, 研究者は、eコマース用の2つのプラットフォームで2つの異なる容赦ないファイル名の脆弱性を発見しました– ShopifyとeBayのMagento. これらの脆弱性により、攻撃者はアプリケーションのサービスモジュールに自分の悪意のあるコードをリモートで挿入する可能性があります。. もしそれが起こったとしたら–それは2つのアプリケーションに一連の問題を引き起こした可能性があります, セッションのハイジャックなど, 執拗なフィッシング攻撃, 悪意のあるコンテンツを含む外部ソースへの執拗なリダイレクト, とりわけ.
研究者HadjiSamirが発見した最新の脆弱性は、バグレポート用のMagentoサイトのモジュールにありました。. 攻撃者は、「投稿」と実行するスクリプトを介して、ペイロードコードのスクリプトをファイル名としてアップロードした可能性があります。, バグレポートが投稿される代わりに.
このすべてをどう思いますか? 研究者がバグをもっと早く、あるいはもっと明らかにしたはずです, 彼らがそれらを発見した直後? 上記のサイトを使用しても安全だと思いますか, これらの特定の脆弱性が修正されていても?
