OAuth služi kao otvoreni standard za provjeru autentičnosti na temelju tokena koju koriste mnogi internetski divovi, uključujući PayPal. Zato je otkriće kritične greške u usluzi mrežnih plaćanja koja je hakeri mogla omogućiti krađu OAuth tokena od korisnika poslala PayPal šifriranje da uruče zakrpu.

Antonio Sanso, sigurnosni istraživač i Adobe softver inženjer, otkrio je nedostatak nakon što je testirao vlastitog klijenta OAuth. Osim PayPala, Sanso je također otkrio istu ranjivost u drugim velikim internetskim uslugama poput Facebooka i Googlea.

Sanso kaže da problem leži u načinu na koji PayPal obrađuje parametar redirect_uri kako bi aplikacijama dao određene znakove provjere autentičnosti. Usluga koristi poboljšane provjere preusmjeravanja za potvrdu parametra redirect_uri od 2015. Ipak, to nije spriječilo Sansoa da zaobiđe te provjere kad je počeo istraživati ​​sustav u rujnu.

PayPal omogućuje programerima da koriste nadzornu ploču koja može proizvesti token zahtjeve kako bi svoje aplikacije upisali na uslugu. Tada rezultirajući zahtjevi za tokene šalju se na PayPal autorizacijski poslužitelj. Sada je Sanso pronašao pogrešku u tome kako PayPal prepoznaje localhost kao valjani parametar redirect_uri tijekom postupka provjere autentičnosti. Rekao je da je ova metoda pogrešno implementirala OAuth.

Igranje sustava provjere valjanosti

Sanso je zatim nastavio s igrom PayPal-ovog sustava za provjeru i otkrio inače povjerljive žetone provjere autentičnosti OAuth. Uspio je prevariti sustav dodavanjem određenog unosa sustava domena na njegovu web stranicu, primijetivši da je localhost poslužio kao čarobna riječ za nadjačavanje PayPal-ovog postupka provjere valjanosti.

Ugroženost je mogla ugroziti bilo kojeg PayPal OAuth klijenta prema Sanso-u. Korisnicima je savjetovao da prilikom izrade OAuth klijenta izrade vrlo specifičan redirect_uri. Sanso je u postu na blogu napisao:

DO registrirajte https: // yourouauthclientcom / oauth / oauthprovider / callback. NEMOJTE samo https: // yourouauthclientcom / ili https: // yourouauthclientcom / oauth.

PayPal u početku nije vjerovao Sansovim nalazima, iako je tvrtka na kraju preispitala svoju odluku i sada je izdala ispravku nedostatka.

Pročitajte i:

• 7 najboljih softvera za fakture za Windows 10 koji se koriste
• Novčanik za Windows 10 Mobile osigurava beskontaktno plaćanje mobilnim korisnicima Insajderima