Nunca é uma boa notícia quando as vulnerabilidades são encontradas em serviços amplamente usados, como o PayPal. sim, um dos mais recentes, falhas de execução remota de código bastante assustadoras foram de fato descobertas no PayPal por um pesquisador independente em dezembro 2015.
Outras notícias relacionadas ao PayPal:
Vulnerabilidade no PayPal permite invasão de conta
Esquemas de phishing do PayPal
Michael Stepankin acaba de relatar uma vulnerabilidade que pode permitir que agentes mal-intencionados assumam sistemas de produção. A vulnerabilidade é facilmente rotulada como crítica, pois afeta manager.paypal.com. Felizmente, foi corrigido logo após ser divulgado.
Uma análise aprofundada da vulnerabilidade mostra que comandos de shell arbitrários podem ter sido executados em servidores da web do PayPal por meio da desserialização de objetos Java e acesso aos bancos de dados de produção.
Aprender mais sobre Vulnerabilidades de desserialização de Java
Isso é o que o pesquisador disse, conforme relatado por TheRegister:
Durante o teste de segurança de manager.paypal.com, minha atenção foi atraída pelo parâmetro pós-formulário incomum "oldFormData" que se parece com um objeto complexo após a decodificação base64. Depois de alguma pesquisa, percebi que é um objeto serializado Java sem qualquer assinatura tratada pelo aplicativo [qual] significa que você pode enviar um objeto serializado de qualquer classe existente para um servidor e ‘readObject’ ou ‘readResolve’ método dessa classe será chamado.
Stepankin foi recompensado $5000 por suas descobertas. Interessantemente suficiente, O relatório de bug de Stepankin era mais uma duplicata de outro relatório enviado ao PayPal dois dias antes por Mark Litchfield. Considerando esse fato, é estranho que o PayPal pagou a ele. Os programas de recompensa por bugs geralmente desconsideram relatórios duplicados.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: