Onderzoekers hebben vrijgegeven informatie over bepaalde kwetsbaarheden in web en mobiele toepassingen van de populaire sites Yahoo, PayPal, Shopify en Magento. Dit zou hebben geleid tot phishing-aanvallen, kaping van sessies en zelfs, stelen van de rekeningen.
Vulnerability Lab onderzoekers Ayoub Ait Elmokhtar, Benjamin Kunz Mejri, Ebrahim Hegazy en Hadji Samir zijn ontdekking van de bugs maakte eerder dit jaar, maar nu hebben ze publiekelijk onthuld.
De PayPal beveiligingslekken
Drie afzonderlijke problemen zijn gevonden in de beveiliging van PayPal, met name in haar web applicaties. De meest ernstige van deze zorgen is een kwetsbaarheid gevonden in PayPal-verificatie, welk doel is om de rechtmatige eigenaar van de account goed te keuren. Het beveiligingslek kan leiden tot een omleiding van die verificatieproces hebben geleid door een aanvaller.
Zelfs wanneer authenticatie in twee stappen is ingeschakeld in de applicatie, waar een gebruiker wordt geblokkeerd als hij verkeerde inloggegevens invoert, het account kan opnieuw worden gepenetreerd. Twee weken geleden, Benjamin Mejri verklaarde over het onderwerp dat een gebruiker via de mobiele applicatieprogrammeerinterface toegang kan krijgen tot het account van een andere gebruiker door gewoon de oude te vervangen., verlopen cookies met nieuwer, werkende.
Onder de mogelijke 2-staps authenticatie bypass, er was een recente patch van PayPal die van invloed zou zijn op een open-omleiding-web-kwetsbaarheid, gevonden door Ayoub Elmokhtar, die op afstand had kunnen worden uitgebuit. Die kwetsbaarheid richtte zich op een andere die een opgeslagen cross-site scripting bug in de Online Service Web Applicatie, die hadden kunnen worden uitgebuit voor de aankoop van verschillende goederen of het overmaken van geld. Deze bijzondere ontdekking werd gedaan door Ayoub Elmokhtar.
De Yahoo Vulnerability
Er was nog een punt van zorg dat de onderzoekers openbaar gemaakt betreffende de website van Yahoo voor adverteerders - Gemini. Meer in het bijzonder was er een CSRF (Cross Site Request Valsheid in geschrifte) kever, die een aanvaller kan hebben toegestaan om kwaadaardige code in te voegen aan de client-side applicatie naar de browser van verzoeken en de sessie data in gevaar brengen.
De Shopify en Magento beveiligingslekken
Laatste, maar niet de minste, de onderzoekers hebben ontdekt twee verschillende meedogenloze bestandsnaam kwetsbaarheden in twee platforms voor e-commerce - Shopify en eBay's Magento. Die kwetsbaarheid kan een aanvaller op afstand in hun eigen kwaadaardige code in dienst modules van de applicaties hebben geleid. Als dat gebeurd zou zijn - zou het hebben geleid tot een reeks problemen voor de twee toepassingen, zoals kaping sessies, aflatende phishing-aanvallen, meedogenloze omleidingen naar externe bronnen met schadelijke inhoud, onder andere.
De meest recente kwetsbaarheid die onderzoeker Hadji Samir gevonden was in module Magento site voor bug reports. Een aanvaller kan een script van payload code als een bestandsnaam hebben geüpload via een “post” en het script uit te voeren, in plaats van een bug rapport worden geplaatst.
Wat vindt u van al deze? Mocht de onderzoekers de bugs vroeg of zelfs zijn blootgesteld, direct nadat ze hadden ontdekt? Heeft u nog steeds het gevoel veilig gebruik van de hierboven genoemde locaties, zelfs met die bepaalde kwetsbaarheden vast?